@thereone 你要不听听自己在说什么? 按你这逻辑发生任何因厂商自身配置错误或是漏洞导致的安全事件, 都怪用户自己联网了? 你自己有公网配置端口转发需要为你自己的安全负责, 但我请问用厂商 OS 上自带的网路服务一样出问题, 最后还是怪用户自己? 这服务不少人还是付费使用的, 意思大家花钱开门找打? 你到底搞清楚问题没有?

@thereone #88 你这种指责毫无根据, 系统的漏洞怎么就怪上用户了, 按你这么说用户没有公网 IP 没有端口转发, 用飞牛官方的 FN Connect 一样被漏洞利用, 你怎么解释呢请问?

@Lentin #8 他说的是 Nginx 的 auth_basic, 这个确实有用, 因为漏洞本质上是要能访问你的 Web 登入界面, 加了 Nginx 那一层 auth_basic 认证没过的话登入界面都打不开, 自然无法利用这个漏洞, 但大部分人是不会再套一个 Nginx 的, 就算是这样用官方的 FN Connect 也是只要知道你 ID 就能直接访问你的登入界面, 一样会被利用

@f360967847 #87 因为这是漏洞本来就不是给你前端点的, 直接 Url 改成你想看的路径就好了, 像下面这样, 只要别人能够访问你的 Web 登陆界面就相当于能访问你设备上的所有文件, 写个脚本直接给你全拉走了, 用官方的 FN Connect 也没用, 只要外网能访问就相当于被看光

https://i.imgur.com/POIHo21.png

@Chengnan049 #93 只是因为网络/监控都是用的他们家, 存储也选它们可以在统一的面板管理所有设备, 而且我设备都是机架式, 机架式的 NAS 就那几家, 群晖才是性价比完全没有

@alfawei #62 我 0.9.2 都可以，说明这个问题不是最近更新才引入的，已经存在非常久了，只是这段时间刚被有心之人利用中招的全成了别人的肉鸡，个人数据全都被看光

@verygood 那说明除了这个还有别的洞，现在看来最新版本也不安全了，这种入侵毫无难度，会不会中招完全取决于 Web 后台有没有被扫出来

@verygood 原因肯定已经找到了, 因为测试最新的 1.1.15 已经修好这个漏洞访问变成 404 了, 至于论坛...官方接着忽悠呗, 反正都是 user 的错, 是 user 没用 https 访问, 是中间人攻击, 是被境外 IP 利用了, 是第三方进程导致的 xxx, 总之资料泄露怪你自己下次注意点和我们没关系噢, 不公布不负责, 能忽悠一个是一个, 论坛大多数都是小白还被它们蒙在鼓里呢, 按剧本接下来要是瞒不住估计要请出临时工大法来祭天了

@jjx #47 无关 HTTP, 即使是 HTTPS 访问也一样, 只要别人能访问你的登陆面板就能拿到你 NAS 中的任何文件, 这是系统漏洞不是 TLS 传输层的问题

最抽象的是官方到现在仍然不愿意承认是系统漏洞, 仍然使用"http 明文访问", "海外 ip", "第三方进程"等理由避重就轻敷衍大家, 还说这种情况下 HTTPS 加密访问是安全的, 看样子是没有愿意正面承认漏洞并公告告知所有用户安全风险的意思了, 望各位借此次事件认清飞牛团队对产品漏洞和数据隐私泄露事件的处理态度

https://i.imgur.com/c1o4Mf0.png

@a9htdkbv 确认在旧版本上复现了, 镜像是用的很久之前的 fnos-0.9.8-902.iso, 测试只要能访问 Web 后台完全不需要登入认证就可以访问根目录下的所有文件典型的路径穿越漏洞, 有意思的是在最新的 1.1.15 上已经不行了, 所以也印证了我的猜想, 它们团队早就发现了这个灾难级漏洞但是刻意隐瞒不公布出来, 还忽悠用户是因为 HTTP 和 MITM 导致的, 然后偷偷修好 OTA, 剩下已经被挂马的用户让员工一个个人工处理加班到半夜凌晨

说真的我原本对飞牛印象挺好的, 现在算是彻底崩塌了, 系统当然是不可能没有漏洞的, 但漏洞可以原谅隐瞒不能, 官方这种欺骗用户隐瞒真实情况+静默式安全事件处置+幕后补救的态度我个人是完全无法接受的, 这完全是不负责任的态度拿所有用户的数据安全开玩笑

https://i.imgur.com/W6UeqxI.png

@levelworm 何止是责任心不强, 是对所有使用它们系统用户的数据安全不负责任, 并且看起来至少一周前他们就已经意识到了这个漏洞, 期间一直捂着, 还用因 http 明文访问和中间人攻击来隐瞒用户, 以至于这篇贴主最开始还感谢飞牛团队, 实则是被它们忽悠蒙在鼓里信了它们找的中间人攻击这种鬼话, 想想真是讽刺

https://club.fnnas.com/forum.php?mod=viewthread&tid=53230

https://i.imgur.com/cpSXVfM.png

@izToDo 那确实是, 能到这一步基本算是彻底沦陷了, 好在我一开始就不信任它, 作为一台 VM 跑在 PVE 上里面没有存任何数据, 就用飞牛影视和下载挂了几个 BT 种子, 电影资源都是存在 UniFi 的 UNAS 上通过 SMB 只读挂在 fnOS 上, 那些真把飞牛当 NAS 用存个人数据的惨了...官方糊弄事的态度也是, 在另一个帖子上 www.v2ex.com/t/1189392 看到这个我还纳闷这年头怎么还有中间人攻击, 原来是给自身漏洞找个背锅侠...

@a9htdkbv 可以访问整个 nas 全部文件, 这个说法有依据吗? 如果是真的无疑是对飞牛用户信任的毁灭性打击, 各个帖子看的云里雾里, 官方也轻描淡写的把锅甩给用户 http 公网访问被劫持, 如果确实是系统漏洞应该无关 http, 套了 tls 也没意义, 按我目前的理解官方是随手找了个口径背锅, 然后偷偷修复漏洞当作无事发生? 如果真是这样不负责任没有官方通报以后谁还敢用?

@yeh #5 走 fnconnect 也是 https 访问, 只不过用飞牛自己的域名, 别人知道了你的 ID 谁都能打开你的登陆界面

2026 年了这不是常识吗, Web 服务不应允许明文 HTTP, 必须经由 TLS 加密...

UPS 竟然不放进机柜里面, 能随手被家妻接上取暖器, 我觉得你也有很大责任🤣

附议