绿联NAS新品发布后,因系统存在大量BUG被紧急下架,并在修复后重新上架,但期间遭遇了包括给红包删差评、研发人员待遇争议、推迟新系统回寄更新等风波。
最近,绿联又因安全缺陷被曝光,TLS证书和私钥被公开下载,尽管官方声称此问题仅影响体验账号且已处理,但这一系列事件仍激起千层浪,不少用户质疑其对用户数据保护是否到位?
证书和私钥全部公开下载,安全存在严重问题
7月3日,B站UP主“某摆烂闲鱼”发布视频,称在试用绿联NAS的UGOS PRO系统时,发现控制面板提供了两个泛域名的证书下载。解压后发现包含crt证书和pem私钥。TLS证书和私钥是确保数据传输安全的重要工具,理论上应该被严格保密和安全存储。但是却被暴露在大众之下。
如果证书和私钥全部公开下载会带来严重的安全问题,比如:
1、数据泄露:TLS加密数据可被解密,敏感信息易遭窃取;
2、中间人攻击(MITM):攻击者伪装NAS服务器,拦截篡改数据,用户无察觉;
3、身份伪造:攻击者用证书和私钥冒充NAS服务器,从事非法活动;
4、服务中断:攻击者利用信息对NAS服务器进行攻击,如DoS,导致服务中断。
NAS设备商应提供安全机制管理TLS证书和私钥。正确做法是为每个用户提供唯一二级域名证书但不提供私钥,或允许用户上传从可信CA获取的证书。但为了确保数据传输安全,要避免私钥暴露给用户。绿联行为令人费解,直接提供泛域名证书及私钥给用户,引发安全隐患。此举暴露了对网络安全基础知识的严重缺乏。目前,相关证书已被申请吊销,安全缺陷得到控制,不会引发更大问题。
客服反应速度不及时,好评率低迷产品质量被质疑
此次,值得关注的是绿联客服的响应速度。根据b站up主透露,6月30日反馈问题,直到7月3日才得到回复,且客服对安全性问题了解不足,未提供处理方案。直到7月6日,客服才回应称问题源于体验账号,正式用户设备不受影响,已吊销相关证书。可以看到客服的响应时间确实是不够及时,不最新回应表示是只在体验账号中会存在这个问题,正式系统中不存在该问题。
这次的新品推出,不少网友认为其非常混乱和失误。从以往的经验来看,即便是小瑕疵,也还是可以容忍。但这次直接跨越底线,让不少用户质疑其是否为深思熟虑、精心策划的产品。客服回应“对正式用户无影响”。问题虽未直接影响正式用户,但难保下次没有问题,此回应似乎在逃避责任,未根本解决,也未给用户信心。事实上,新品推出引发热议,但用户反馈不佳,京东好评率跌至53%,引发对产品质量的质疑,令人担忧是否存在更多问题。
总结
其实,安全和稳定才是NAS产品的核心。仅仅从产品端来说,很多时候,不能仅仅满足于客服的口头承诺,更应该从源头上找出问题的根源,并采取相应的措施来解决问题。只有这样,才能真正赢得用户的信任和支持,让产品真正走向成功。
