小米公司员工私自将公司内网端口映射到公网

2020 年 11 月 17 日上午 11:56，小米已发出全员级别的通告。人工智能部 AI 实验室一名实习生私自将公司内网端口映射到公网，导致不法分子入侵公司服务器，违反《小米集团员工行为准则》和《员工信息安全规范》有关规定，解除其实习协议，并将相关涉案人员移送司法处理。

有些许疑问，实习生有这么大权限么？会不会是哪个大佬把锅给实习生

zjsxwc

2020-11-18 09:03:38 +08:00

这是发现服务器被黑了才曝光的，服务器没被黑的话估计就没这实习生什么事情。

pydiff

2020-11-18 09:42:20 +08:00

@zjsxwc 可能内网服务器用了弱密码的原因,比如我这边内网服务器都是 123456 之类的,很容易破

zxyangyu

2020-11-18 09:59:21 +08:00

emmm 话说原来搞模型部署测试的时候,也干过这个事情,只是没人惦记

knightdf

2020-11-18 10:36:36 +08:00

frp 只转发到 ssh 端口(只能私钥登录)的应该没事吧？

yy77

2020-11-18 10:42:54 +08:00

这位实习生至少要有公司防火墙的管理员权限才行。

pythonee

2020-11-18 10:47:28 +08:00

不要在公司电脑上处理个人事务
不要私自变更公司电脑防火墙、攻击网络

mm2x

2020-11-18 10:52:00 +08:00

我都是家里 NAS 架设 Frps 只映射一个连接端口然后 Frpc 不做端口映射使用的时候直接内网地址管理在外面需要的时候 VPN 回家。。感觉还是挺安全的。。估计这哥们用了免费的 frps 之类的东西。。怨不得别人。。

no1xsyzy

2020-11-18 11:32:42 +08:00

我只开单位穿回家里的，不开家里穿到单位的
明面上说是为了网络安全
其实是摸鱼可以，远程加班不行

no1xsyzy

2020-11-18 11:34:54 +08:00

@nmap FRP 的 frpc -> frps 链接有单独的 TLS 选项，只加个密码恐怕不会加密流量。

yueryuer

2020-11-18 11:38:14 +08:00

想请教下，做微信小程序本地开发这种，使用内网穿透工具安全吗，如果不用内网穿透工具应该如何方便的调试

no1xsyzy

2020-11-18 11:41:48 +08:00

@lewis89 #33 #30 的话可以 SNI 嗅探，HTTPS 也能拿到域名。
（强行 OSI 模型应该算 5 层 session 层）
至于 FRP 不加 TLS 没意义，加了 TLS 的话不清楚 FRP 的 ALPN 是啥，单独的话握个手求个 ALPN 就清楚这是啥服务了

VZXXBACQ

2020-11-18 11:44:55 +08:00

请问一波，我购买了内网穿透服务（其实就是一个端口映射和 FRP 差不多，服务商可信），转发了 ssh 端口（只能公钥登录），RDP 强密码（只能用 MS 账号登陆）和 6666 端口（无服务，平时用来调试 web 的）。会被橄榄嘛？

Rheinmetal

2020-11-18 11:56:48 +08:00

@VZXXBACQ 个人被盯上可能性小一点但是开放公网就会被扫漏洞没有万事大吉有一个就是倒霉

ScepterZ

2020-11-18 12:00:56 +08:00

实习生有 vpn 的啊，这就是个觉得自己很会玩作死玩脱的呗，大家讨论的太发散了……

boris93

2020-11-18 13:28:41 +08:00

@bclerdx #85 那不也是 VPN ？除了协议不一样之外
而且我之前待过的一家单位就是用深信服 SSL VPN，感觉体验不太好

feast

2020-11-18 13:36:49 +08:00

FRP 这种跟公网直接暴露基本没区别了，不是很清楚很多人滥用这玩意儿的原因，可能知名度高吧

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/726197

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.