Cloud Station Datenleck in Synology Drive Client

[smartinmedia]

Hallo zusammen,
unser Unternehmen hat ca. 6 Synology NAS.
Wir haben einen Share-Folder mit darunter liegenden Verzeichnissen, die unterschiedliche Benutzer-Berechtigungen haben.
Unsere 20+ Mitarbeiter haben alle auf Windows den Synology Drive Client installiert, um die Ihnen freigegebenen Ordnern auf ihren Windows PCs zu synchronisieren. Wir wurden heute von einem Mitarbeiter darauf aufmerksam gemacht, dass er auf ALLE(!) Verzeichnisse Zugriff hat, also auch Personalabteilung, Geschäftsführung, Buchhaltung, ALLES.
Wir haben auf allen Rechnern nachgesehen und bei einem Großteil der Mitarbeiter lagen alle Firmendaten komplett synchronisiert offen vor!!

Ich bin auf die Download-Seite von Synology gegangen und dort ist tatsächlich der Synology Drive Client in der Windows Version nicht mehr downloadbar (nur Mac und Linux). D. h., denen scheint gerade das Problem auch offensichtlich geworden zu sein.

Das ist eine komplette Vollkatastrophe, das ausschließlich das Unternehmen Synology zu verantworten hat!!

MfG
MW

 

[ruedi66]

Ich hoffe du hast unrecht. Der Download der Win Version ist aber wirklich verschwunden...

 

[NSFH]

Welche Drive Server- und welche Client Version?

 

[smartinmedia]

Zunächst einmal:

Es ist auf 2 getrennten Synologys (von 2 von uns getrennten Unternehmen) passiert.
Bei beiden hatten wir einen "Shared Folder", z. B. "GeteilterOrdner" erstellt, um nicht zig "Shared Folder" mit zig Einzelberechtigungen einzurichten. Unter diesem "GeteilterOrdner" hatten wir dann Ordner wie z. B. "Buchhaltung", "Marketing", "Personal", etc pp und entsprechende Berechtigungen für einzelne Mitarbeiter.
Der eine Server (Firma 1) läuft genau so seit mindestens 3 Jahren unverändert, außer dass neue Mitarbeiter dazu gekommen sind. Diese hatten jeweils Zugriff auf unterschiedliche Ordner. Der andere Server (Firma 2) läuft seit ca. 2 Jahren.
Heute wurde ich dann von einer Mitarbeiterin kontaktiert, die bei beiden Firmen von uns plötzlich Vollzugriff hatte!

Bei Firma 1 hatte ich kürzlich von Synology Cloud Station auf Synology Drive Station umgestellt, weil die neuesten Drive Clients das verlangt haben (neue Mitarbeiter). Bei Firma 2 lief schon die aktuelle Synology Drive Station, hatte da also nichts geändert.

Unser Drive Station: Installed Version 2.0.4-11112
Clients: genauso.

Das Schräge: bei manchen Mitarbeitern bestand kein Vollzugriff, bei manchen schon - die installierten Drive Clients waren gleich.

 

[Synchrotron]

Was sagt Synology dazu ?

 

[NSFH]

Die Kombi mit V2 läuft bei mir auch auf mehreren Synos aber schon immer via Drive. Da gibt es keinerlei Auffälligkeiten.
Wäre der Wechsel von der Cloudstation auf Drive bei Beiden passiert würde sich ein Grund ergeben, aber bei einer reinen Drive-Umgebung sehr komisch!

 

[Matthieu]

Was sagt Synology dazu ?

Ich habe mal angefragt.

MfG Matthieu

 

[Matthieu]

Ich habe die OT-Diskussion um v3 mal entfernt und den Thread wieder aufgemacht, in der Hoffnung dass es jetzt besser klappt ...

MfG Matthieu

 

[NSFH]

Icch habe mal testweise Drive Server V2 und Drive Client 3.01 ausprobiert. Funktioniert ohne Probleme. Da gibt es kein Sicherheitsproblem.
Kann es sein, dass dieses Problem schon länger unerkannt besteht, durch falsche Definition der ACL? Soetwas kann schnell passieren. Mal die Rechte für einen Ordner geändert, vergessen die Vererbung auszuschalten und schon ist das Kind in den Brunnen gefallen.

 

[tproko]

Das ist eine komplette Vollkatastrophe, das ausschließlich das Unternehmen Synology zu verantworten hat!!

Prüf das bitte nochmal genauer.
Meine Tests waren soweit ok. Konnte ich so noch nicht nachstellen. Wobei ich eher auf gemeinsame Ordner setzen würde als Unterordner. Siehe auch Beitrag von @NSFH


Selbst wenn synology einen Bock gemacht hat, kannst bzw. solltest du dich dann bei Synology per Ticket melden. Hier ist ein Anwenderforum.

 

[Matthieu]

Erste Antwort von Synology ist da. Ein entsprechendes Problem ist nicht bekannt und auch das kurzfristige Update für den Client hat damit nichts zu tun. Die Gründe dafür sind in den Release Notes nachzulesen, mehr Änderungen gibt es nicht.
@smartinmedia Gibt es schon ein Ticket bei Synology dazu? Wenn ja, gern die Ticket ID per PN an mich schicken.
Ich "entschärfe" derweil den Titel mal ein wenig.

MfG Matthieu

 

[blurrrr]

Davon ab hört sich das ja eher wie eine erneute Aktivierung der Vererbung auf oberster Ebene an, habt ihr das mal gecheckt? Ich persönlich stehe derzeit eigentlich eher zu 101% hinter dieser Aussage hier:

Kann es sein, dass dieses Problem schon länger unerkannt besteht, durch falsche Definition der ACL? Soetwas kann schnell passieren. Mal die Rechte für einen Ordner geändert, vergessen die Vererbung auszuschalten und schon ist das Kind in den Brunnen gefallen.

Sowas ist nämlich wesentlich wahrscheinlicher, als dass bei y/x Geräten irgendwelche dubiosen Berechtigungsfehler auftreten... Aber sicher, kann man auch erstmal nackt im Kreis tanzen und danach dem Hersteller alles in die Schuhe schieben. Nur extrem merkwürdig, dass bisher noch "niemand sonst"(!) dieses Problem hatte und auch nicht alle eurer Geräte... Würde mir ja schon zu denken geben... ?

 

[AndiHeitzer]

Davon ab hört sich das ja eher wie eine erneute Aktivierung der Vererbung auf oberster Ebene an, habt ihr das mal gecheckt?

Danke dafür ...
Der TO hat ja beschrieben, dass weitere Berechtigungen auf Unterordner eingerichtet wurden.
Von sowas bin ich ohnehin kein Freund.
Wenn es blöd läuft, dann sitzt man schnell einer vermeintlichen Katastrophe auf ... ups ... ?

 

[mayo007]

Freue mich schon auf Räsels Lösung vom TO. Meine Vermutung eher User-Error.

 

[Ulfhednir]

Ein Nachweis, dass die Berechtigungen am Shared Folder falsch gesetzt waren, dürfte schwierig werden.
Wie ich gesehen habe, wird beim Ändern der Rechte kein Log im Protokollcenter erstellt. Wir bleiben bei sehr wahrscheinlichen Mutmaßungen - wenn kein weiterer Fall bekannt ist und dies ein Einzelfall ist und bleibt.

 

[blurrrr]

Einstellungen und Berechtigungen an NAS und Client kontrollieren, so schwierig ist das erstmal nicht. Frage ist, ob das noch immer so ist, oder ob das schon vor einiger Zeit "behoben" wurde (und somit kein Sync der ungewollten Dinge besteht).

 

[Ulfhednir]

Ich bin jetzt einmal davon ausgegangen, dass smartinmedia das bereits überprüft hat und der aktuelle Ist-Zustand so aussieht, dass alle Berechtigungen in Ordnung sind.

 

[blurrrr]

und der aktuelle Ist-Zustand so aussieht, dass alle Berechtigungen in Ordnung sind.

fragwürdig, wenn alle alles sehen können ??

 

[ottosykora]

fragwürdig, wenn alle alles sehen können ??

aber nicht so ungewöhnlich
Eines unserer Büros wollte alles einfach machen und haben den guest eingeschaltet. Haben letztes Jahr noch mit w7 gearbeitet und dort war es wirklich so, dass alle PC via SMB automatisch alles gesehen haben

Haben dann neue PC mit w10 bekommen und reklamiert wir hätten denen defekte und unbrauchbare PC geschickt. In w10 geht es mit dem guest nicht mehr so einfach.

 

[frimp]

Erinnert mich an die 80er und frühen 90er - da habe ich in solchen Firmen oft den vom Sohn/Bekannten des Chefs vorkonfigurierten Mist wieder geradebiegen müssen. Damals noch Novell Netware und LANmanager, aber ähnliches Problem. Keiner hatte granulare Berechtigungen auf dem Zettel und mangels Wissens und/oder Lust einfach alles offen gelassen.