这是一个创建于 84 天前的主题,其中的信息可能已经有所发展或是发生改变。
这不赔钱么,我现在依旧能随随便便访问很多 nas ,哪有那么多人能及时看到公告并且升级,绝大多数依旧是老版本,都漏成筛子了,nas 里的所有数据随便看。那些免费用户不管就算了,那那些付费用他家穿透的用户也不管么?
 | 1 shuiduoduo 2 月 1 日 via iPhone  13 人家压根不承认有漏洞 |
 | 2 haoshuaiwang 2 月 1 日 via iPhone 2 |
 | 3 Solix 2 月 1 日 2 坐等飞牛公司破产 |
 | 4 pingdog 2 月 1 日 via Android 3 看了一圈,还未承认自带穿透有漏洞,都是用户自己将 http 映射到公网而受到攻击 |
 | 5 chonge2018 2 月 1 日 是啊,搞不懂为什么 FNconnect 到现在还没关 |
 | 6 wula2333 2 月 1 日 1 草台班子,没有法务,不懂怎么处理 |
| 7 chonge2018 2 月 1 日 搞不懂为啥不把 FNconnect 先关了 |
 | 8 NewYear 2 月 1 日 在官方论坛注册账号,一天一夜过去了,还没人审核账号…… 这管理真的是…… |
 | 9 whitewash 2 月 1 日 1 可能周末的缘故,好公司,不用员工加班 |
 | 10 Peek 2 月 1 日 4 挺好的,年轻人第一次感受公网的危险性有多高 |
 | 11 isnullstring 2 月 1 日 NAS 的管理端口根本不合适暴露公网,就像把 SSH 22 端口仅仅设个简单密码,这不是等着被爆破么? openssl 都能出 0 日漏洞 |
 | 12 fstab 2 月 1 日 @isnullstring #11 我也觉得,X86 刚出来的时候,玩了一段时间,用的二手的 j3455 搞都小主机,然后觉得费电就卖二手了 把 1T 的硬盘挂到台式机上面,基本也就存 200G-300G 数据,数据需求也不是很大。 后面 arm 公测,因为用的玩客云盒子刷 armbian 跑一些服务小服务,为了省电,就没把家里面闲置的 oect 和 oes 刷机,想着直接把 nas 管理端口暴露出来不安全,我还是比较相信 VPN 或者第三方的内网穿透,然后把 SSH 穿透出来再代理给浏览器,通过内网 IP 地址访问。 |
 | 13 bsder 2 月 1 日 公网还有很多可以看的。 |
 | 14 missqso 2 月 1 日 想问下,使用群晖的 quickconnect 会有同样的安全隐患吗? |
 | 15 yinanc 2 月 1 日 2 国产区即将迎来一波大更新( |
 | 16 xyz5378 2 月 1 日 1 @missqso 一样会被攻击,所以最好是不用这些官方或者是第三方的云端中继. Pwn2Own 2022 多伦多大会上,Claroty Team82 团队展示的群晖 QC 攻击是一套完整的设备冒充 + 流量劫持 + 凭据窃取 + 远程代码执行攻击链,核心利用了 QC 服务的弱设备认证机制和本地信息泄露漏洞,将便捷的远程访问通道转化为完全控制 NAS 的入口。 这样直接可以进入到你的群晖了 具体内容可以在 B 站视频观看 2023 年的 blackhat 视频,标题:<利用云攻击面入侵任意的 NAS 设备>,同样被入侵的还有西数的 NAS 根据 AI 回答,群晖 2023 年 8 月才推送更新修复该漏洞. |
 | 17 stinkytofux 2 月 1 日 @yinanc 上次国产区的大更新还是百度网盘泄露, 这一次恐怕很多冤种要出名了. |
 | 18 f360967847 2 月 1 日 1 我在自己的 NAS 根路径放了一个静态 index.html,别人手动进来可以看到我想对他说的话 哈哈哈 |
 | 19 alexhx 2 月 1 日 @f360967847 改名成‘密钥.txt’,确保对面会打开看 |
 | 20 boboliu 2 月 1 日 1 @xyz5378 #16 > 根据 AI 回答,群晖 2023 年 8 月才推送更新修复该漏洞. 并不是 https://www.synology.com/en-us/security/advisory/Synology_SA_22_23 |
 | 21 cloverzrg2 2 月 1 日 不把用户的数据安全当回事。 这个漏洞在 12 月 23 日,就有用户上报了: https://club.fnnas.com/forum.php?mod=viewthread&tid=48354 |
 | 22 nxuu 2 月 1 日 再好的系统都可能会有漏洞 更何况大家的 nas 里面主要存放的都是不值钱的东西 值钱的东西肯定会有备份的, |
 | 23 8675bc86 2 月 1 日 这种漏洞,服务端修复一下应该就可以行了,客户端即使是低版本,应该也可以防住。不知道飞牛的这个 fn connect 架构是如何的? |
 | 24 0044200420 2 月 1 日 没有 sonarqube 之类安全扫描迟早重犯 |
| 25 haoshuaiwang 2 月 1 日 @f360967847 6 啊 哈哈哈哈 |
| 26 isnullstring 2 月 2 日 @fstab 对头,我的应用也是通过代理回去才能访问,一些小点的开源项目不会做花精力在安全上。 这样淘宝上买个 FRP 几块钱一个月,整个安全隧道,既安全又省事,VPS 都不带折腾 |
 | 27 windsound 2 月 2 日 不要随便把内网暴露到公网,太危险。大佬们时时刻刻都在,被爆破真的只是凭缘分/ |
 | 28 lovelive1024 2 月 2 日 简直离谱,内网穿透还是要慎重 |
 | 33 Kirkcong 2 月 2 日 @nxuu #30 身份证照片只是一个例子,不代表里面只有这些,有的人自动备份照片到 nas,会拍一些和对象亲亲我我的视频;也有存放 token 或者恢复密钥的,其他帖子有人说找到了密码管理器导出的未加密密码;还有的人存放了定期备份的微信记录。 以上这些你能承受泄漏的风险么? |
| 36 nxuu 2 月 5 日 @Kirkcong 我觉得还是别存隐私的内容 存在任何地方泄露了都没平台会承认的是他泄露的 你说呢...陈冠希被发现了 也不是他传播的 不过他们被影响的最大...nas 的任何系统就不敢说是无漏洞的,而且自从有了互联网就应该时刻清楚 联网就可能完全暴漏在黑客的手下.为了安全就内网隔绝外网使用,不然的话,哪一个系统我都觉得不安全.icbc 的美国分公司不也被黑过么...难道他们里面没有安全高手. |
| 37 Kirkcong 2 月 5 日 @nxuu #36 nas 其实是一个企业级的商用方案,从 1980 年迭代至今已经有 30+年的历史了,这是一套完全成熟的方案,无论是安全性还是稳定性早就经过无数公司和市场的检验了,本质上非常安全。 hetzner 就是一个例子,他们提供企业级别的存储,已经运作几十年了,很多用户把各种备份资料存入他们的 storage-boxes 中,完全没有任何问题,这个方案本身是可行的、安全的、可靠的、稳定的。 只是 nas 这个概念近几年被商业化运作,发现能在消费级市场赚钱,并且符合某些用户的需求罢了,fnos 本质是一个家庭玩具,和企业级的 nas 不是一个概念。而 nas 本身就是一个非常专业的东西,设计初衷就不是给小白用户使用的。这就好像变电站大型电闸,本身就是一个专业的东西,现在有个企业把他下放到了用户端,不能说用户触电就是大型电闸有问题,单纯就是场景不对。 为什么说群晖威廉通可以使用?因为人家盈利的大头本来就是企业方案,先有企业的底子,然后下放到小型团队/家庭来使用,这样就没问题。fnos 一开始就想着把一个专业的东西提供给小白用户,必然要踩坑的。 |
Select Language