从 30 号的这个帖子开始 https://www.v2ex.com/t/1189392 到今天,已经三四天的时间了,现在随便一搜,仍然有二十多万的资产暴露在公网,试了两百个,一半多可访问,32 个未升级到最新版本,存在路径穿越漏洞。
如果说这些用户存的就是些片子也就罢了,但是很多都是用来备份自己手机电脑的,里面的文档不少都是个人隐私,各种证件、资料。
去年不是计算机行业的朋友想折腾 NAS ,我推荐了群晖和飞牛,后面他没买硬件就涨价了,也就没折腾。我个人猜测,飞牛的大多数用户都是和我这个朋友类似的,第一次接触 NAS 的小白,他们不知道网络安全,也不知道暴露在公网意味着什么。查了下,广州铁刃智造技术有限公司成立于 23 年,这两年正是硬件便宜的时候,对于这些用户来说,NAS 比网盘便宜,可以备份各种设备的数据,还能看看片,就足够了。
现在出了这种级别的事故,官方的种种措辞还是遮遮掩掩,懂的人知道严重性,但大部分小白用户可能一点也意识不到,即便现在官方关闭了未升级的用户的内网穿透,作用也是有限的。这些用户脑子里是缺少安全意识的,只会照着教程一步一步做,并不能理解每一步的含义(回想我刚接触的时候也是如此),所以官方的指南是非常非常重要的。
以后飞牛在我这里是被拉入永久黑名单了,我觉得无关乎国产与否,任何品牌这么搞都是自寻死路。
 |
101
kiritoyui 1 天前
@microscopec #64 自动更新 ugos 也更新不到 ugos pro
|
 |
102
wxy8866 1 天前 via iPhone
愿意用酒多用用国产 包括绿牌
|
 |
103
Gilfoyle26 23 小时 11 分钟前
其实没啥影响,飞牛之所以会发公告和短信,只是觉的产品要卖不出去了,再发酵下去自己公司要倒闭了,才会发这些避重就轻的公告,而不是真的要解决问题。比较网民的记忆只有三个月。到时候韭菜还不是疯狂买单。
|
 |
104
alfawei 22 小时 6 分钟前 via iPhone
已经在舆论上转移注意力了,随便截个图/伪造一张图把群晖几年前的漏洞拿出来说(然而那个漏洞是黑客大赛发现的),然后在 QQ ,微信,L 站,小红书传播,意思是群晖 QNAP 也一样的漏洞。其中 RR 和 Lean 也加入其中,貌似是 Lean 入职了飞牛?谁可以证实一下?
|
 |
105
yazinnnn0 21 小时 55 分钟前
self hosted 保平安
https://www.reddit.com/r/selfhosted/ https://selfh.st/ 选一个自己熟悉的基础系统, 啥事不求人, 各种东西暴露在公网是在太危险了 |
 |
106
WhatTheBridgeSay 21 小时 33 分钟前
@felixcode #37 从他们这几次发的公告里执行脚本的方式和留的 safety 安全邮箱来看,他们连个像样的运维都没有,安全团队只存在于幻想中
|
 |
107
Chengnan049 21 小时 2 分钟前
@ala2008 名字都带牛
|
|
108
Chengnan049 21 小时 1 分钟前
@microscopec #63 啊?还带自动更新?
|
 |
110
chashao 17 小时 53 分钟前
我试了试登录不是需要账号密码吗?
|
 |
111
SuperXX 11 小时 14 分钟前
@dilidilid 在欧美吃诉讼吃到饱? 别听风就是雨, 是有吃诉讼的可能, 你看西部数据之前被黑有吃吗?还有某华人外卖 app, 公司内部人员直接把整个数据库群发给用户了, 也没见吃吧?
|
 |
112
ssh 10 小时 29 分钟前
吃瓜网上都开始更新飞牛 nas 泄露的视频了
|
 |
113
dilidilid 9 小时 26 分钟前
@SuperXX 吃诉讼的原因不是因为有安全漏洞,是隐瞒漏洞和有意欺骗误导用户,这次飞牛的应对过程来说有意隐瞒、欺骗的证据都是现成的,某华人外卖只能说怀疑而没有证据
|
 |
114
sjqboss 9 小时 11 分钟前
不是一般的大,各种私照、隐私视频被盗,看得不要不要的
|
 |
115
sincejj 9 小时 11 分钟前
压根没 nas 需求
照片存 iCloud ,开了家庭组 Apple One 超大杯 35 一月 看片 115(infuse + Apple TV),蓝光原盘随时随地都能流畅观看,100 多 T 现在每年费用可以忽略不计 |
 |
117
neptuno 7 小时 15 分钟前
免费的尽头就是肉鸡。老老实实买正版 nas 。
|
 |
118
xiaofsu 7 小时 10 分钟前
@microscopec #64 换系统是需要申请的,不是说自动更新就直接更换成 pro 了。
|
|
119
xiaofsu 7 小时 9 分钟前
@microscopec #64 没经历过你就别乱说
|
 |
120
wangj00756 6 小时 44 分钟前
|
 |
121
bestwing 6 小时 32 分钟前
https://club.fnnas.com/forum.php?mod=viewthread&tid=53420
2 月 1 日的公告 近日,飞牛技术团队在安全巡检与用户反馈分析过程中,发现部分设备在公网环境下,存在异常访问风险。受影响设备在提供网络服务的过程中,可能因外部异常流量导致系统及部分应用稳定性受到影响。 针对该异常行为,此前我们已于第一时间推送了 1.1.15 版本安全更新,并向全体用户发出了升级通知,阻断异常行为。 经深入分析,此次攻击行为具有明显针对 fnOS 的定向属性,且采用了多维度复合型攻击手法。过去一周,技术团队已紧急排查大量异常设备,持续追踪木马样本及其变种并展开深度分析。目前,安全团队已完成对该攻击链路的逆向工程,并发布系统安全更新以阻断此类攻击行为。 请您尽快升级至 1.1.18 最新版本,补丁安装完成后无需额外配置,即可有效提升设备安全性及系统稳定性。 我们对本次事件可能造成的不便深表歉意。在追查木马过程中,我们发现了自身代码的一些疏漏。未来,飞牛将持续加大安全投入,定期开展安全**与系统优化,直面大小漏洞,让系统更加健壮。同时,建议在 NAS 设备开放公网访问权限时,优先采用安全访问方式(加密隧道/2FA 验证/开启防火墙等),以进一步降低潜在安全风险。 与此同时,为更好地保障用户安全,飞牛将成立安全快速响应团队,第一时间处理用户反馈的漏洞,筑牢产品安全防线。欢迎广大用户通过官方渠道积极提交安全问题与建议,对于首次有效反馈的漏洞,将提供相应激励。 安全漏洞反馈入口: https://trim-nas.feishu.cn/share/base/form/shrcnYhRB4ryb9K8Te9GEqeRYYe 安全问题联系邮箱: [email protected] 感谢每一位用户的理解、耐心与监督。 广州铁刃智造技术有限公司 2026 年 2 月 1 日 ---- 分割 ---- 你批量扫描发现公网有很多不升级,这和官方有啥关系 ? |
 |
122
Mithril 6 小时 9 分钟前
|
 |
123
alading11 2 小时 42 分钟前
@yuwancumian27149 #8 大部分普通用户根本不是极客,更多的是在网上找的视频教程,图文教程自己摸索玩玩的,根本没有能力到网络安全这一块。
|
 |
124
lsearsea 2 小时 29 分钟前 via Android
拉
|
Select Language