这不赔钱么,我现在依旧能随随便便访问很多 nas ,哪有那么多人能及时看到公告并且升级,绝大多数依旧是老版本,都漏成筛子了,nas 里的所有数据随便看。那些免费用户不管就算了,那那些付费用他家穿透的用户也不管么?
 |
1
shuiduoduo 6 天前 via iPhone  13
人家压根不承认有漏洞
|
 |
2
haoshuaiwang 6 天前 via iPhone 2
初创公司,内部乱一团,根本不知道谁去负责怎么处理
|
 |
3
Solix 6 天前 2
坐等飞牛公司破产
|
 |
4
pingdog 6 天前 via Android 3
看了一圈,还未承认自带穿透有漏洞,都是用户自己将 http 映射到公网而受到攻击
|
 |
5
chonge2018 6 天前
是啊,搞不懂为什么 FNconnect 到现在还没关
|
 |
6
wula2333 6 天前 1
草台班子,没有法务,不懂怎么处理
|
|
7
chonge2018 6 天前
搞不懂为啥不把 FNconnect 先关了
|
 |
8
NewYear 6 天前
在官方论坛注册账号,一天一夜过去了,还没人审核账号……
这管理真的是…… |
 |
9
whitewash 6 天前 1
可能周末的缘故,好公司,不用员工加班
|
 |
10
Peek 5 天前 4
挺好的,年轻人第一次感受公网的危险性有多高
|
 |
11
isnullstring 5 天前
NAS 的管理端口根本不合适暴露公网,就像把 SSH 22 端口仅仅设个简单密码,这不是等着被爆破么?
openssl 都能出 0 日漏洞 |
 |
12
fstab 5 天前
@isnullstring #11
我也觉得,X86 刚出来的时候,玩了一段时间,用的二手的 j3455 搞都小主机,然后觉得费电就卖二手了 把 1T 的硬盘挂到台式机上面,基本也就存 200G-300G 数据,数据需求也不是很大。 后面 arm 公测,因为用的玩客云盒子刷 armbian 跑一些服务小服务,为了省电,就没把家里面闲置的 oect 和 oes 刷机,想着直接把 nas 管理端口暴露出来不安全,我还是比较相信 VPN 或者第三方的内网穿透,然后把 SSH 穿透出来再代理给浏览器,通过内网 IP 地址访问。 |
 |
13
bsder 5 天前
公网还有很多可以看的。
|
 |
14
missqso 5 天前
想问下,使用群晖的 quickconnect 会有同样的安全隐患吗?
|
 |
15
yinanc 5 天前 2
国产区即将迎来一波大更新(
|
 |
16
xyz5378 5 天前 1
@missqso 一样会被攻击,所以最好是不用这些官方或者是第三方的云端中继.
Pwn2Own 2022 多伦多大会上,Claroty Team82 团队展示的群晖 QC 攻击是一套完整的设备冒充 + 流量劫持 + 凭据窃取 + 远程代码执行攻击链,核心利用了 QC 服务的弱设备认证机制和本地信息泄露漏洞,将便捷的远程访问通道转化为完全控制 NAS 的入口。 这样直接可以进入到你的群晖了 具体内容可以在 B 站视频观看 2023 年的 blackhat 视频,标题:<利用云攻击面入侵任意的 NAS 设备>,同样被入侵的还有西数的 NAS 根据 AI 回答,群晖 2023 年 8 月才推送更新修复该漏洞. |
 |
17
stinkytofux 5 天前
@yinanc 上次国产区的大更新还是百度网盘泄露, 这一次恐怕很多冤种要出名了.
|
 |
18
f360967847 5 天前 1
我在自己的 NAS 根路径放了一个静态 index.html,别人手动进来可以看到我想对他说的话 哈哈哈
|
 |
19
alexhx 5 天前
@f360967847 改名成‘密钥.txt’,确保对面会打开看
|
 |
20
boboliu 5 天前 1
@xyz5378 #16
> 根据 AI 回答,群晖 2023 年 8 月才推送更新修复该漏洞. 并不是 https://www.synology.com/en-us/security/advisory/Synology_SA_22_23 |
 |
21
cloverzrg2 5 天前
不把用户的数据安全当回事。
这个漏洞在 12 月 23 日,就有用户上报了: https://club.fnnas.com/forum.php?mod=viewthread&tid=48354 |
 |
22
nxuu 5 天前
再好的系统都可能会有漏洞 更何况大家的 nas 里面主要存放的都是不值钱的东西 值钱的东西肯定会有备份的,
|
 |
23
8675bc86 5 天前
这种漏洞,服务端修复一下应该就可以行了,客户端即使是低版本,应该也可以防住。不知道飞牛的这个 fn connect 架构是如何的?
|
 |
24
0044200420 5 天前
没有 sonarqube 之类安全扫描迟早重犯
|
|
25
haoshuaiwang 5 天前
@f360967847 6 啊 哈哈哈哈
|
|
26
isnullstring 5 天前
@fstab 对头,我的应用也是通过代理回去才能访问,一些小点的开源项目不会做花精力在安全上。
这样淘宝上买个 FRP 几块钱一个月,整个安全隧道,既安全又省事,VPS 都不带折腾 |
 |
27
windsound 5 天前
不要随便把内网暴露到公网,太危险。大佬们时时刻刻都在,被爆破真的只是凭缘分/
|
 |
28
lovelive1024 5 天前
简直离谱,内网穿透还是要慎重
|
 |
33
Kirkcong 5 天前
@nxuu #30 身份证照片只是一个例子,不代表里面只有这些,有的人自动备份照片到 nas,会拍一些和对象亲亲我我的视频;也有存放 token 或者恢复密钥的,其他帖子有人说找到了密码管理器导出的未加密密码;还有的人存放了定期备份的微信记录。
以上这些你能承受泄漏的风险么? |
|
36
nxuu 2 天前
@Kirkcong 我觉得还是别存隐私的内容 存在任何地方泄露了都没平台会承认的是他泄露的 你说呢...陈冠希被发现了 也不是他传播的 不过他们被影响的最大...nas 的任何系统就不敢说是无漏洞的,而且自从有了互联网就应该时刻清楚 联网就可能完全暴漏在黑客的手下.为了安全就内网隔绝外网使用,不然的话,哪一个系统我都觉得不安全.icbc 的美国分公司不也被黑过么...难道他们里面没有安全高手.
|
|
37
Kirkcong 2 天前
@nxuu #36 nas 其实是一个企业级的商用方案,从 1980 年迭代至今已经有 30+年的历史了,这是一套完全成熟的方案,无论是安全性还是稳定性早就经过无数公司和市场的检验了,本质上非常安全。
hetzner 就是一个例子,他们提供企业级别的存储,已经运作几十年了,很多用户把各种备份资料存入他们的 storage-boxes 中,完全没有任何问题,这个方案本身是可行的、安全的、可靠的、稳定的。 只是 nas 这个概念近几年被商业化运作,发现能在消费级市场赚钱,并且符合某些用户的需求罢了,fnos 本质是一个家庭玩具,和企业级的 nas 不是一个概念。而 nas 本身就是一个非常专业的东西,设计初衷就不是给小白用户使用的。这就好像变电站大型电闸,本身就是一个专业的东西,现在有个企业把他下放到了用户端,不能说用户触电就是大型电闸有问题,单纯就是场景不对。 为什么说群晖威廉通可以使用?因为人家盈利的大头本来就是企业方案,先有企业的底子,然后下放到小型团队/家庭来使用,这样就没问题。fnos 一开始就想着把一个专业的东西提供给小白用户,必然要踩坑的。 |
Select Language