via：https://t.me/wearemjj/16752

没玩nas，只是搬运。

这个漏洞影响很深，建议尽快更新系统，或者换群晖。

不管是群晖还是飞牛还是其他，都不太建议暴露公网IP。建议组网访问，更安全些，免费可以考虑tailscale，zerotier，自己搭建也可以考虑wireguard。

花了点时间看下这两天的大瓜，VPS面板漏洞还是小事，数据基本都加密了，被盗也不大事。飞牛这个漏洞还没修好，看了下也没法修好，产品设计缺陷。任何人只要版本是旧的且插了网线那么你的资料就会被人访问到。这还是已经纰漏出来的漏洞，还有更多没纰漏的漏洞未被发现。网络上暴露的依然能复现，到现在都能复现，是的你没有听错‼️‼️不管修没修漏洞，官方说中毒，木马变种了，我觉得找个台阶下吧。太可怕了。已知被暴露在公网的飞牛用户基本都被爬完资料了的（也就是你的NAS资料“有可能”已经早已被打包了）。至于下一步动作.....哎

目前透过网上暴露出这几类人群受伤最严重：

个人用户：普通资料 隐晦&隐私&资料混在一起存放公网暴露且穿插比对直接命中身份社死（是的心真大条）

企业用户：有把商业机密合同包括专利文件和企业活动混在存放公网暴露（没眼看）

特殊用户：存在私钥 加密货币助记词 钥匙本等敏感信息直接存放（.....）

国安用户：不少公职人员涉密资料和个人资料混放公网暴露（这个最可怕了不多说）

上面只是主要的，就不细说。这事个人觉得比快手涉黄还要严重。

存储资料基本没有加密可言，为了便利牺牲用户。目前已知这个漏洞暴露起码在11月末就被提及，且反馈无根本性解决。飞牛官方态度也不行，绿云NAS之前也出事，自身产品能力不行。也不至于那么严重的漏洞。

要做什么？

对没买的没使用的

观望的用户远离，并告诉身边即将买NAS的小伙伴注意安全。

收人钱财替人消灾，下次再看到鼓吹的博主公众人物就要打标签绕道，脏了；不干净。

已经买了的，正在使用的

马上拔网线，找其余备份方案。官方出的补丁包不靠谱。真的不想你逝世

扔了吧，别用了。或者二手鱼出掉，有能力自己刷机，没能力找接盘侠。

存在密码的就改，既然已经发生了就要面对。盘点自己的资料内容和价值，然后评估推演下。我知道很多人一样就保留一份最原始的记事本或者图片作为备忘录。有时候就这这个备份让不法分子直接洗劫一空。

我记得有些NAS或者存储设备虽然不叫飞牛，但是搭载飞牛OS的系统，比如零刻，好自为之。就目前咨询京东旗舰店也没有任何反馈迹象好像无事发生。已经损失的企业个人尽快立案。