V2EX › MiKing233 的所有回复 › 第 2 页 / 共 10 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10

❮

❯

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

@Chengnan049 #93 只是因为网络/监控都是用的他们家, 存储也选它们可以在统一的面板管理所有设备, 而且我设备都是机架式, 机架式的 NAS 就那几家, 群晖才是性价比完全没有

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

@alfawei #62 我 0.9.2 都可以，说明这个问题不是最近更新才引入的，已经存在非常久了，只是这段时间刚被有心之人利用中招的全成了别人的肉鸡，个人数据全都被看光

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

@verygood 那说明除了这个还有别的洞，现在看来最新版本也不安全了，这种入侵毫无难度，会不会中招完全取决于 Web 后台有没有被扫出来

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

@verygood 原因肯定已经找到了, 因为测试最新的 1.1.15 已经修好这个漏洞访问变成 404 了, 至于论坛...官方接着忽悠呗, 反正都是 user 的错, 是 user 没用 https 访问, 是中间人攻击, 是被境外 IP 利用了, 是第三方进程导致的 xxx, 总之资料泄露怪你自己下次注意点和我们没关系噢, 不公布不负责, 能忽悠一个是一个, 论坛大多数都是小白还被它们蒙在鼓里呢, 按剧本接下来要是瞒不住估计要请出临时工大法来祭天了

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

@jjx #47 无关 HTTP, 即使是 HTTPS 访问也一样, 只要别人能访问你的登陆面板就能拿到你 NAS 中的任何文件, 这是系统漏洞不是 TLS 传输层的问题

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

最抽象的是官方到现在仍然不愿意承认是系统漏洞, 仍然使用"http 明文访问", "海外 ip", "第三方进程"等理由避重就轻敷衍大家, 还说这种情况下 HTTPS 加密访问是安全的, 看样子是没有愿意正面承认漏洞并公告告知所有用户安全风险的意思了, 望各位借此次事件认清飞牛团队对产品漏洞和数据隐私泄露事件的处理态度

https://i.imgur.com/c1o4Mf0.png

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

@a9htdkbv 确认在旧版本上复现了, 镜像是用的很久之前的 fnos-0.9.8-902.iso, 测试只要能访问 Web 后台完全不需要登入认证就可以访问根目录下的所有文件典型的路径穿越漏洞, 有意思的是在最新的 1.1.15 上已经不行了, 所以也印证了我的猜想, 它们团队早就发现了这个灾难级漏洞但是刻意隐瞒不公布出来, 还忽悠用户是因为 HTTP 和 MITM 导致的, 然后偷偷修好 OTA, 剩下已经被挂马的用户让员工一个个人工处理加班到半夜凌晨

说真的我原本对飞牛印象挺好的, 现在算是彻底崩塌了, 系统当然是不可能没有漏洞的, 但漏洞可以原谅隐瞒不能, 官方这种欺骗用户隐瞒真实情况+静默式安全事件处置+幕后补救的态度我个人是完全无法接受的, 这完全是不负责任的态度拿所有用户的数据安全开玩笑

https://i.imgur.com/W6UeqxI.png

1 月 31 日

回复了 Kinnikuman 创建的主题 › 互联网 › L 站被爆出有盲水印

🤮

1 月 31 日

回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队

@levelworm 何止是责任心不强, 是对所有使用它们系统用户的数据安全不负责任, 并且看起来至少一周前他们就已经意识到了这个漏洞, 期间一直捂着, 还用因 http 明文访问和中间人攻击来隐瞒用户, 以至于这篇贴主最开始还感谢飞牛团队, 实则是被它们忽悠蒙在鼓里信了它们找的中间人攻击这种鬼话, 想想真是讽刺

https://club.fnnas.com/forum.php?mod=viewthread&tid=53230

https://i.imgur.com/cpSXVfM.png

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

@izToDo 那确实是, 能到这一步基本算是彻底沦陷了, 好在我一开始就不信任它, 作为一台 VM 跑在 PVE 上里面没有存任何数据, 就用飞牛影视和下载挂了几个 BT 种子, 电影资源都是存在 UniFi 的 UNAS 上通过 SMB 只读挂在 fnOS 上, 那些真把飞牛当 NAS 用存个人数据的惨了...官方糊弄事的态度也是, 在另一个帖子上 www.v2ex.com/t/1189392 看到这个我还纳闷这年头怎么还有中间人攻击, 原来是给自身漏洞找个背锅侠...

1 月 31 日

回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

@a9htdkbv 可以访问整个 nas 全部文件, 这个说法有依据吗? 如果是真的无疑是对飞牛用户信任的毁灭性打击, 各个帖子看的云里雾里, 官方也轻描淡写的把锅甩给用户 http 公网访问被劫持, 如果确实是系统漏洞应该无关 http, 套了 tls 也没意义, 按我目前的理解官方是随手找了个口径背锅, 然后偷偷修复漏洞当作无事发生? 如果真是这样不负责任没有官方通报以后谁还敢用?

1 月 30 日

回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队

@yeh #5 走 fnconnect 也是 https 访问, 只不过用飞牛自己的域名, 别人知道了你的 ID 谁都能打开你的登陆界面

1 月 30 日

回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队

2026 年了这不是常识吗, Web 服务不应允许明文 HTTP, 必须经由 TLS 加密...

1 月 30 日

回复了 losoft89 创建的主题 › NAS › 今天 ESXi ALL-IN-BOOM 了

UPS 竟然不放进机柜里面, 能随手被家妻接上取暖器, 我觉得你也有很大责任🤣

1 月 29 日

回复了 YanSeven 创建的主题 › OpenClaw › 天天看到 clawdbot，这玩意儿是不是纯纯营销啊

附议

1 月 29 日

回复了 lyz2754509784 创建的主题 › 宽带症候群 › 江苏联通上行小黑屋问题？

@lyz2754509784 600 一年一个月 50, 你一天上传几百 GB, 运营商估计一个月本都回不来, 现在就是故意恶心你让你没法用之后自己去注销宽带, 就是运营商定义的所谓"负价值用户", 你这种上传量在今天的跨省流量结算政策下三家 ISP 一家都不可能租给你, 要么减少上传量, 要么提高你宽带套餐的资费, 要么多办几条宽带做分流, 否则毫无活下来的可能

1 月 28 日

回复了 lyz2754509784 创建的主题 › 宽带症候群 › 江苏联通上行小黑屋问题？

@lyz2754509784 你多少钱的套餐, 每天上传量大概多少, 我现在每天上传 20GB+, 没再被拉小黑屋过

1 月 28 日

回复了 lyz2754509784 创建的主题 › 宽带症候群 › 江苏联通上行小黑屋问题？

可以看我的回复🤣
https://www.v2ex.com/t/1140187

1 月 26 日

回复了 383394544 创建的主题 › 程序员 › 不翻墻可用的官方 GPT

还是翻墙吧别折腾自己

1 2 3 4 5 6 7 8 9 10

❮

❯