没想到上个月刚因为新品BUG过多引来用户和网友们口诛笔伐，然后火速致歉并下架的绿联NAS（绿联 NAS 翻车下架，那些带货博主呢？），在重新上架后，这么快又被爆出了安全缺陷的问题，要知道安全缺陷可能带来的后果就不只是影响使用体验那么简单了，那么情况到底是怎么样的呢？

7月3日，B站UP主“某摆烂闲鱼”发视频称，在试用绿联NAS的UGOS PRO系统的时候，发现其控制面板中向用户提供了 *.ugnas.cloud 和 *.ugnas.com 两个泛域名的证书下载。

下载完解压后发现可以看到crt证书，并且还附带了pem私钥。

要知道TLS证书和私钥是用于确保数据传输安全的重要工具，它们通常应该被严格保密和安全存储，确保只有授权的人员和系统才能访问

如果证书和私钥全部公开下载会带来严重的安全问题，比如：

数据泄露：任何人都可以解密通过 TLS 加密传输的数据，导致敏感信息（如登录凭据、个人数据、财务信息等）被窃取。

中间人攻击（MITM）：攻击者可以伪装成 NAS 服务器与用户通信，拦截和篡改传输的数据，而用户完全不会察觉。

身份伪造：攻击者可以使用这些证书和私钥冒充合法的 NAS 服务器，从事非法活动。

服务中断：攻击者可能会利用这些信息对 NAS 服务器进行攻击，例如拒绝服务攻击（DoS），导致服务中断。

正常来讲，NAS设备商应该提供安全的机制来管理TLS证书和私钥，正确的做法比每个用户单独给一个独一无二的二级域名证书，但不提供私钥。又或者允许用户上传他们自己从可信的证书颁发机构（CA）获取的证书。这样既可以确保数据传输的安全性，又可以避免将敏感的私钥暴露给用户。

但绿联这波操作着实有点看不懂，直接将自己通过证书颁发机构申请的泛域名证书和私钥都提供给用户，不仅给官方自己带来安全风险，更导致使用绿联 NAS 服务的用户也全都暴露在风险中，这看起来像缺乏最基本的网络安全常识。

不过目前经过查询，相关证书目前已经被申请吊销了，不管怎么说，这个证书暴露相关的安全缺陷至此已经不会再引发更大的问题了。

但除了问题本身，更值得关注的可能就是绿联官方客服对这件事情的响应速度，根据曝光该事的b站up主表述，是在6月30日（周日）反馈的该问题，一直到7月3号经过再次催问后才得到回复，不过看起来客服似乎并不太了解和重视安全性问题，并没有给出处理方案。

直到7月6日，也就是今天，客服才在UP主视频下方，表示已定位到该问题属于体验帐号，正式用户设备上没有这个证书，也不会用到这个证书和私钥，已经吊销该体验帐号的证书，对正式用户不会有任何影响。

可以看到客服的响应时间确实是不够及时，不最新回应表示是只在体验帐号中会存在这个问题，正式系统中不存在该问题。

哎，要说上次的新品大量bug事件，我还能用草台班子来形容，但这次我真害怕有点侮辱草了，而且这次人家搞不好就这样实现了全网共享大网盘呀，真不敢说这能算草台。

至于客服回应的“对正式用户不会有任何影响”，我相信这次可能确实没对正式用户产生影响，下次呢？要知道重新上架后的新品，现在京东好评率只有53%了···