Ketteiron

没升级到 1.1.8 直接暴露在公网上=裸奔，这个不用试，你开机了别人就能直接进去。

@FloatingLeaves #7 这个日志是文件的传输记录，如果自己没有下载 nas 文件，但是源源不断地产生记录就是正在被其他人下载，确认下日志时间是不是自己在操作。
目前公网上还有超过 10% 飞牛用户依然在裸奔，各种证件照、私密照、明文密码记录、自动备份照片怕是被轮了几百遍了。

1. 物理机安装 ubuntu
2. tailscale
完事，搞得越复杂反而越容易出错

如果你的飞牛能够连接其他设备，且这些设备有漏洞，那可以感染或者留下一些恶意执行文件。
一般来说内网设备都是默认互联互信的，所以答案是 yes 。

@adminpro #13 这次漏洞的最大受害者是开启了飞牛推荐的外网访问方式 FN Connect ，这 tm 是收费项目，那些免费白嫖的都没中招。

一、用户根本不知道漏洞，并且相信官方会妥善处理好漏洞。
二、没有强制升级，很多人会选择停留在旧版本。
三、通过查杀病毒升级到新版本的系统，依然无法杀干净潜在恶意文件，除非重装系统。
四、即使是目前最新的系统，依然存在鉴权漏洞。

草台班子就是这样的，没能力负责用户的安全问题，不知道一行弱智代码会产生什么样的破坏性。

@lnbiuc #25 没人好奇，至少有四个帖子解释了，就是飞牛官方穿透有 bug ，可以随意查看/下载任意路径下的任意文件，即使不知道密码，那攻击者直接找到密钥就能直接进 NAS 跟回自己家一样，放几个木马不是简单得很。理论上除了重装没有安全的灭杀方案，所有没重装的系统依然可能存在恶意文件。
这个问题要解决很简单，12 月用户报告问题时强制禁用穿透服务等修好再放开就行了，结果根本没人在意，在这几天明明知道用户的绝大部分数据已经被恶意轮询脚本搞完了，依然不关，甚至今天还好心的发了个公告说过几个小时将要关闭穿透服务，提醒黑客们赶紧抓紧下原创国产片。

@libregratis #2 飞牛的目标群体大部分就是小白啊，用户啥都不知道可能 26 字母都认不全，但是他们就不允许有 NAS 的需求了吗？有需求就有利益，飞牛要做的就是赚到这部分人的钱，如果运营得当这是双赢，但可惜实在太草台班子了，他们不配赚这钱。
在此之前，我对飞牛的反感在于他们不尊重开源协议。态度决定很多东西，就从这个细节来说，我根本不会考虑他们的任何产品。
但这次事件再次刷新了我的三观，不敢相信互联网竟然存在这种公司。