请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
 |
1
InDom 2 天前  13
什么事故?
|
 |
2
shoaly 2 天前 1
反正最不妥当的方式, 已经看到了
|
|
3
shoaly 2 天前 1
在补充一句, 那么辛苦的写代码, 赚名声, 现在的做法对得起那些年辛苦编写的代码么....
|
 |
4
AmericanExpress 2 天前 via iPhone
想象一下如果当年 log4j 的 cve 是用飞牛这种方式处理的🤣🤣🤣
|
 |
5
guiys 2 天前 via Android
fnos 没有运营经理
|
 |
6
Rorysky 2 天前 3
把这个低级的鉴权 bug 称为 0day 漏洞,以显示飞牛的技术实力,在 黑客级
|
 |
7
geekvcn 2 天前 via Android
直接学国内同行,直接把项目卖给灰黑产公司,套现离场。缺钱了再回来搞个飞狗 OS 循环,回应啥?
换句话说飞牛做高级别等保就有大企业和政府企事业单位采购吗?换句话说那些小白 Windows 不打安全补丁和别的 Linux 发行版各种运行来历不明的脚本,公开到公网就安全了?那肉鸡早就不存在了…… 安全永远不能靠软件,得有安全意识,和安全习惯,我倒觉得飞牛给一对安全小白上了一堂安全课,一些啥安全意识都没的人就喜欢啥都开公网上 |
|
8
geekvcn 2 天前 via Android
我个人不用飞牛也没用过,我内网服务保底套一个非标端口 ssh tunnel 访问,就这还要三天两头升级 ssh ,ssh 漏洞被爆出来的也不少,对于没安全意识和能力的人访问内网服务套个 VPN 是底线不是可选
|
|
9
geekvcn 2 天前 via Android
飞牛出软件安全事故动静这么大,我想无非就两个原因,一是用的人多,二是很多人第一次存重要资料的服务器裸奔了,就那安全意识以前不存重要资料的机子被挂马估计都无所谓
|
 |
10
spike0100 2 天前
很多用户估计还不知道这件事情呢。
|
 |
11
AkinoKaedeChan 2 天前
如果要做 2C ,那现在这样装死最好啊,成本低而且不会被告。如果要做 2B ,算了大概也做不了……
|
 |
12
Panameragt 2 天前 1
先沉淀 10 年,我看好你 fnOS 加油
|
 |
13
lmmir 2 天前
回应: 你们这群牛马,白嫖了还要说三道四.
|
 |
14
Shura 2 天前 1
对于有些人来说,这个产品本身就是有原罪的,怎么回应没没用。
|
 |
15
1zh3n 2 天前 via Android 8
看看公众号评论你就知道了,都是境外势力、友商打击,别有用心的人挑起事端。什么漏洞,这是小 bug 。至于用户数据安全,那是啥
|
 |
16
1298098 2 天前
玩具而已
|
 |
17
expy 2 天前
草台班子照着大厂抄就行,前段时间的 Next.js 不刚搞了一次。
|
 |
18
Hephaistos 2 天前
@geekvcn 飞牛这个不只是公网暴露的问题了,用他们家内网穿透服务就有问题
|
 |
19
zhengfan2016 2 天前
参考隔壁土下座
  |
 |
20
axiao12 2 天前
@Hephaistos 用 Fnconnext 也会有问题吗?我看发出来的都是需要暴露公网才会中招
|
|
21
Hephaistos 2 天前
@axiao12 有啊,只要能看到登录页就能进去
|
 |
22
dilidilid 2 天前 3
@axiao12 你这条评论就是打脸各种替飞牛开脱的说法,现实就是大部分小白用户直到现在都不知道发生了什么。
飞牛现在的应对完全就是一丁点没把用户的数据安全当回事,FNC 不拦截不公告不下线,就是当鸵鸟赌大部分人不知道,而还没有更新新版本的 FNC 终端在这段时间(包括现在)就完全成为黑灰产的肉鸡。 |
 |
23
penzi 2 天前 1
参考他们论坛的评论:有针对,说明有人害怕了。加油。
友商太坏了,台湾太坏了,美国太坏了 |
 |
25
june4 2 天前
安全是要花钱的,又看不到直接的效益,这就要看老板的格局了,显然这家不行
|
 |
26
Admstor 2 天前
我会这样处理
1 非漏洞,是一些程序 bug ,现已修复。警告有关厂商和一小部分所谓程序员带节奏,我司保留依法追究有关谣言权力。 2 已经通知受影响客户升级系统并提供相关技术支持,我司也即将全量推送最新修复补丁,客户的数据安全与信任是我们不懈的追求。 3 此事件中我司有关工作人员深夜 2 点持续攻坚,坚持数据安全为第一,快,稳,准的编码方针,仅用几个小时就已将补丁制作出来,展现了不畏艰难,客户至上的工作理念。 4 客户的需求是我们不断进步的动力,同时欢迎社会各界对我司系统进行监督,如若发现 bug ,通过合理合法渠道有序进行上报,坚决杜绝非法上报。 5 我司已于有关部门建立安全合作机制,将对任何利用我司产品 bug 获利行为予以严厉制裁,切勿以身试法。 |
|
27
axiao12 2 天前
@dilidilid 你是什么利益相关方吗,我只是作为个人用户问一问而已,就被打成了开脱?因为我之前看到说是要公网才会有这个问题,现在看到 fnid 走中继也会,我就确认一下后续是不是应该换内网穿透的方式。我这次并没有中招我以为是因没有开端口映射(实际电信云带宽根本不给公网 IP )。
|
 |
28
louol 2 天前 1
@axiao12 这次出问题的是飞牛系统的网页入口,只要能看到网页就中招,除非你对网页入口自己加了额外的保护或者二次验证。
现在官方的 fn connect 就是直接的无保护的内网穿透,并且好像到现在没有对此做任何保护:对未更新的 nas ,现在你拿拼接的地址加在 fn connect 域名后面就能直接拿文件! 个人建议你再看看另一个人的说辞,他只是强调有人像你一样不知道事情的严重性。 马上关了 fn connect ,再考虑要不要接着用飞牛吧。 |
 |
29
LnTrx 2 天前 1
可以参考一下威联通,2024 年漏洞的处理流程是:2 月 27 日发新闻稿呼吁用户升级 myQNAPcloud Link ,2 月 29 日不再允许通过 App 连接,3 月 9 日发布安全通告。
https://www.qnap.com/zh-tw/news/2024/qnap-%E6%8F%90%E9%86%92%E7%94%A8%E6%88%B6%E6%9B%B4%E6%96%B0-myqnapcloud-link-%E8%87%B3-v2-4-52-%E4%BB%A5%E4%B8%8A%E7%89%88%E6%9C%AC https://www.qnap.com/zh-tw/security-advisory/qsa-24-09 |
 |
30
96 2 天前 1
飞牛的运营简直是…
当初加入飞牛的民间技术组,要求**每周三篇**技术文章,且义务劳动。不够三篇直接踢出去。 一整个震惊。 |
|
32
dilidilid 2 天前 via iPhone
@axiao12 你误会了,我不是说你开脱,而是之前有不少人说飞牛是国内公司/小公司/用爱发电,所以他们有漏洞或者漏洞修复不及时可以理解,人家现在也修复了论迹不论心 blabla
但你的经历其实说明飞牛藏着掖着的做法导致大部分飞牛用户根本不知道发生了什么。回到你原来的问题,是的,只要你的登录页面可以被访问你的飞牛 nas 就能被扒个一干二净。不管是走 fnc 还是走 cloudflare proxy 都一样 |
 |
33
bearbest PRO 小众出了问题商家真有点有恃无恐,反正闹不起什么大浪。
只能等大点的数码博主爆料了… |
 |
34
xianzhe 2 天前
第一阶段:我们说什么都不会发生。
第二阶段:我们说可能有什么事情要发生,但我们不应该对此采取任何行动。 第三阶段:我们说也许我们应该对这件事采取点行动,但实际上我们 做不到。 第四阶段:我们说也许我们本来能做点什么,但现在已经太晚了 |
 |
35
fengci 2 天前 1
 飞牛的处理 |
 |
36
idealhs 2 天前 4
笑嘻了,之前很多人都说过了国产 NAS OS 不可用,被反驳什么看不上国产
现在出事故了,用的都不吱声了 那么多能用的 OS 不用,爱买国产就用呗 |
 |
37
fuchaofather 2 天前
@fengci 这也挺好的啊
|
 |
38
bootvue 2 天前
论坛打不开了
|
|
39
fengci 2 天前 1
@idealhs 飞牛只是响应太慢了,有问题就要解决一直拖着,别扯什么国产不国产 你这种说话就是二极管,我就不知道没有漏洞的系统
https://www.helpnetsecurity.com/2024/11/04/cve-2024-10443/ https://www.darkreading.com/vulnerabilities-threats/critical-qnap-nas-zero-day-bug-exploited-deadbolt-ransomware |
|
42
Hephaistos 2 天前
0Day 根本不是问题啊,大问题是知道但不修,都拖了这么久了
|
 |
43
Ja22 2 天前
装死就行了,然后让 kol 发点友商同样有漏洞,让大家提升安全防范,不要在互联网上裸奔
|
|
45
Hephaistos 2 天前 2
@Rorysky 已经被利用还没修的就叫 0day……
和你 bug 高不高级半毛钱关系都没 |
 |
46
NonResistance 2 天前
只能说有点极客倾向的都不会用飞牛,只会用群晖
|
 |
48
labubu 2 天前
在致歉和发布详细事故报告间选择了警告散布谣言者 https://mp.weixin.qq.com/s/8332fUIfnzDg_eA4f3XPzg
|
 |
49
f360967847 2 天前
响应太慢,并且没有调查清楚前推到没有用 https 身上,当然,这个是论坛的管理发言,不能完全代表飞牛。
这个漏洞复现很容易,你说官方以前没发现,可以,论坛爆出问题了,你官方还发现不了?你说马上修不好,可以发公告提醒暂时关闭外部公网映射,你说 FN 功能不能一刀切,有人还要用,可以,你发公告提示用户自行选择是否关闭。 |
 |
50
unusualcat 2 天前
删贴,控评,找水军洗地,阴阳是友商干的,推到中间人攻击.,用户缺乏安全意识暴露设备在公网。总之不是自己的问题.
尽量不公开站出来回应,缩头等待事情慢慢被遗忘. |
 |
51
docx 2 天前 via iPhone
要么厚脸皮撑到底,要么一开始就承认
而不是中途变卦 |
 |
52
goodSleep 2 天前
我会开始投简历
|
 |
53
haoshuaiwang 2 天前
@InDom 6
|
 |
55
catazshadow 1 天前 via Android
学大厂,买水军控评,加律师函警告
|
|
57
idealhs 1 天前
@fengci #39 😅我寻思这个帖子不是说飞牛冷处理用户数据安全相关的低级 bug ?你举的例子又是什么呢?什么软件能没 bug ?不是在谈处理方式的问题吗?怎么变成寻找没有漏洞的系统了?谁二极管?谁偷换议题?
|
 |
58
suyuyu 1 天前 1
来空手套白狼了
|
 |
59
Kirkcong 1 天前 1
@fengci #39
1. 国产经常冷处理,比如肥牛,这个漏洞在 12 月下旬就已经提交过了,官方人员也回复转交给了工程师,但是很显然并没有修复。这不是响应慢,而是已读不处理。 2. 所有系统都有漏洞,但不是所有系统都有肥牛这么严重的漏洞。 3. 本次爆出来的问题,是三四个漏洞组合的结果,国外的系统也有漏洞,但这个的漏洞极其多。 4. 这些漏洞都非常低级,比如前端校验而后端放行,命令拼接导致注入漏洞,这些都是十多二十年前就有的问题,可见肥牛的技术人员完全没有安全意识。国外的厂商很少同时被发现这么多远古漏洞。 5. 肥牛最开始的回应,是说用户没有使用 https,http 明文传输导致的。第一反应不是想办法补救,而是直接把责任推给用户。反观国外的威联通,给出了用户切实有用的建议(断开外网),没有导向用户自身问题。 6. 以上问题,不只肥牛一家国产有,很多国内的厂商都有过,所以,真的不怨人们看不上国产,这东西的问题是真的多。国外肯定也会出现这些问题,但概率确实比国内的低。 |
 |
60
ciki 1 天前
可以说马上要超越美国的 NAS 系统,美国故意打压,FBI 攻破的
|
 |
61
gloeaerris 1 天前
|
|
62
fengci 1 天前
@idealhs #57 我在回复你不是帖子 。请把我的回复对着你的回复看。我的回复已经说了飞牛的问题 `有问题就要解决一直拖着` ,但你的回复直接上升太高的高度了。 你是对人不是事
|
|
63
fengci 1 天前
@idealhs #56 还有这里也是 ,你能不能读读我写的内容,别直接情绪化回复,`那么多能用的 OS 不用,爱买国产就用呗` 我这里是回复你大家为什么用他,我回复的有问题嘛? 他不是因为系统易用还免费大家才选他?你为什么就不能好好说话,就喜欢情绪化回复?
|
 |
64
an0nym0u5u5er 1 天前
@geekvcn #7 飞牛、飞马、飞驴、飞猫、飞狗
|
 |
65
m1nm13 1 天前
谈论安全的时候, 先看看你付了几个钱.
码农论坛更是如此, 天天有人发自己的轮子或者推广, 对创收高谈阔论 到自己嫖别人免费服务翻车的时候就急得要死. 你又不是付不起钱的学生. 出门左转群晖完事了 |
 |
66
TomVista 1 天前
2024 年 7 月 20 日,美国微软公司说,据估算,因“众击”公司安全软件升级引发的大规模宕机事件影响了全球大约 850 万台安装微软视窗操作系统的设备,相当于现在所有安装视窗系统设备总数的不到 1%。 这次宕机事件导致全球数千架次航班被取消,数万架次航班延误,大量旅客滞留机场。 截至 2024 年 7 月 21 日,美国已经连续第三天有超过 1000 架次航班被取消.
|
 |
67
chilaoqi 1 天前
这是好事啊,证明用的人多,黑红也是红。
|
 |
68
patrickyoung 1 天前
@96 你搜搜他们老板原本是哪出来的就知道了。提示: boss 搜他们公司,看高管 title
|
 |
69
chqome 1 天前
直接开源,然后把钱退了,公司解散
|
 |
70
Y25tIGxpdmlk 9 小时 7 分钟前
@Kirkcong #59 先不说威联通算不算国外,算不算政治不正确,单单从好用成都来看,威联通给飞牛提鞋的资格都没有。就算有这种漏洞发生,我也还是依然支持用飞牛。
我就是买了威联通,然后用了 2 年,恶心了 2 年,刷了黑群辉半年,然后现在转飞牛的用户,飞牛的使用体验可以说秒杀威联通,薄纱。跟群辉比,也完全不虚。虽然功能上还没群辉那么强大,单从某些体验来看,比如飞牛的手机端 APP |
|
71
Kirkcong 9 小时 4 分钟前
@Y25tIGxpdmlk 那就看你是更注重安全还是便捷了,如果 fnos 的用户提前知道会有这么严重的安全问题,想必要么不用,要么也不会上传手机备份文件、照片、合同等关键资料的吧。
|
Select Language