小米公司员工私自将公司内网端口映射到公网

2020 年 11 月 17 日上午 11:56，小米已发出全员级别的通告。人工智能部 AI 实验室一名实习生私自将公司内网端口映射到公网，导致不法分子入侵公司服务器，违反《小米集团员工行为准则》和《员工信息安全规范》有关规定，解除其实习协议，并将相关涉案人员移送司法处理。

有些许疑问，实习生有这么大权限么？会不会是哪个大佬把锅给实习生

feast

2020-11-18 14:32:47 +08:00

@pydiff 当小白们都在滥用 FRP 公共服务的时候其节点很显然是黑产们重点关照的

dbpe

2020-11-18 15:50:40 +08:00

@mxalbert1996 UDp 打洞受制于 NAT 网络类型的吧,基于证书的可以...研究下

w99wjacky

2020-11-18 16:36:47 +08:00

我见过的一个国内的“免费”frp 工具
配置文件里就有的远程桌面的端口设置
这个“免费”软件就是用来杀**猪的

比如这个：www 。chuantou 。org/frp-page
tcp 端口 3389 默认就有这个配置
谁用谁悲剧

mxT52CRuqR6o5

2020-11-18 16:40:58 +08:00

我就算认为自己有足够能力保证安全也不会这么做，给自己增加风险

DoctorCat

2020-11-18 16:50:02 +08:00

公司不让干的事情就不要干，例如未经授权做外网访问办公内网的事情，这不是技术范畴了。
用技术取巧的方式给公司带来的损失，那始作俑者不负责谁来负责？雷布斯负责么？

biguokang

2020-11-18 17:30:31 +08:00

@feast 我觉得和其他打洞工具来说，frp 部署在三大平台来说部署运行极其简单，可能是得益于 go 语言开发吧

biguokang

2020-11-18 17:31:27 +08:00

@yueryuer 你不是 24 小时开着就没问题吧，不用的时候就关掉

mxalbert1996

2020-11-18 18:28:56 +08:00

@dbpe 打洞不成功会自动 fallback 到中转，稳定性是有保证的。

geebos

2020-11-18 19:38:55 +08:00

@vfxx 这种一般都属于保密信息，不能发布到外网的

yuruizhe

2020-11-18 19:50:40 +08:00

公司都有 VPN，为啥要映射出去呢？ ssh 直连服务器？

MineDog

2020-11-18 19:56:16 +08:00

平时会用 ssh 隧道连接内网的 mysql，算不上述情况啊，也会有危险？

1if5ty3

2020-11-18 23:02:20 +08:00

看大家这么一说，虽然不用 frp，但也有点虚。
赶紧加强 nas 密码，关闭无关映射。

feast

2020-11-19 03:38:53 +08:00

@biguokang FRP 这玩意儿按道理讲根本不配称什么内网“穿透”，反弹 shell 隧道这种名字估计才能引起这些人的警惕

la9998372

2020-11-19 09:51:11 +08:00

真人真事，是我实验室同学室友的男朋友。。。事情挺严重的，好像已经抓起来了，要坐牢。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/726197

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.