Cloud Station Datenleck in Synology Drive Client

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Gibt es hier wirklich noch Novell Erfahrene? :)
Waren das noch Zeiten mit den Compaq Servern und Novell. Stabil lief das Zeugs aber, da gibt es nichts.
Was damals das Schönste war: Die Nutzer hatten von all dem keine Ahnung und man wurde als Admin nicht ständig mit ungarem Halbwissen belästigt. Heute ist jeder Admin, der versehentlich sein Windows zum Laufen gebracht hat................

Aber zum Thema zurück: Der TE sollte mal genauestens seine ACL überprüfen. Ich bin mir ziemlich sicher, dass er dort falsche Einstellungen finden wird.
 
  • Like
Reaktionen: blurrrr und Adama

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.190
Punkte für Reaktionen
766
Punkte
154
Ich will den Thread nicht verwässern, aber ich z.B.
Erst 2.xx, dann 3.xx, als letztes 4.xx inkl. der Linux-Varianten...
Gruppen in Gruppen? Ih gitt...
Und man konnte Ous zum Berechtigen ranziehen... Und es gab nur den Tree... Domänen, was für ein Blödsinn... ;)
 
  • Like
Reaktionen: NSFH

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
(y) ja früher, da war alles besser :cool:
 

smartinmedia

Benutzer
Mitglied seit
08. Jun 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,
ich schaffe es erst jetzt, mich zu melden.
Also, ich hatte ein Ticket mit Synology aufgesetzt und erst jetzt geraden denen meine Antwort gepostet (die sagen, sie wissen von nichts):

Thank you for your reply. I will write you in English, although you are probably as myself in Germany, but then you may be able to route this somewhere internationally.

So, this is a huge issue and I suspect it has come to Synology's awareness as I noticed on the eventing of the problem that the "Synology Drive Client" had disappeard from the download page in its Windows version. I also posted the problem here: https://www.synology-forum.de/threads/datenleck-in-synology-drive-client.115084/#post-945909

To clarify: We have 2 companies (www.smartinmedia.com and www.easyradiology.net), which both have 2 independent Synology systems. It happened on both of them.

What happened: appr. 3-4 years ago we configured the system that we have only 1 "Shared folder" (because it is tedious to configure e. g. 10 share folders and connect to them single-handedly with the Synology drive client for each employee) and all employees had "Read access" to the highest level and below that different access rights to the next folder level.

E. g. the Shared folder's name was "Share" and below that we had "Marketing", "Sales", "Product management", "HR", "Legal", etc pp.

Employees had Synology Drive Client (latest version 11112) running on their windows machines.

By now we have almost 30 employees and had set the access rights for them via e. g. groups. This ALWAYS worked correctly.

Then, in order to install the Drive client for a new employee, the software said that we needed to upgrade the server software from Cloud Station Server to Drive Station Server, which I did. If it happened because of that I cannot say, but anyway even on the Synology of the other company (where Synology Drive Station Server was running all the time without the need for upgrade), the problem ocurred.


On June 8th, an employee called me that she had access to all folders, which she never had. We immediately secured all computers of all employees and stopped the Synology service and in appr. 50% of the employees they had unrightfully full access to the folders, the other did not.

When I logged on with their respective account into the browser-UI and opened "File Station", all the rights were set correctly, i. e. the employees could not see what they were not supposed to see, but on Windows in the Synology Drive Client they could.

We now moved all critical folders to separate Shared folders and haven't had a problem since, but I am 100% sure that there is a huge security flaw in your system. Again, it ran perfectly for years and then it ocurred on 2 different systems.
I am happy to make a e. g. Teams / Zoom call with you and guide you through our system and its settings.

This is the "Shared folder":


1623587005593.png
We had blocked inheritance from that Shared folder for all users:


1623587005628.png


And in an example folder below, only management group should have had access (not all users):



1623587005665.png
Best regards
 

smartinmedia

Benutzer
Mitglied seit
08. Jun 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Davon ab hört sich das ja eher wie eine erneute Aktivierung der Vererbung auf oberster Ebene an, habt ihr das mal gecheckt? Ich persönlich stehe derzeit eigentlich eher zu 101% hinter dieser Aussage hier:



Sowas ist nämlich wesentlich wahrscheinlicher, als dass bei y/x Geräten irgendwelche dubiosen Berechtigungsfehler auftreten... Aber sicher, kann man auch erstmal nackt im Kreis tanzen und danach dem Hersteller alles in die Schuhe schieben. Nur extrem merkwürdig, dass bisher noch "niemand sonst"(!) dieses Problem hatte und auch nicht alle eurer Geräte... Würde mir ja schon zu denken geben... ?

Nein, wir haben das bei 2 getrennten Synologys - bei beiden ist das passiert - teilweise ist das seit Jahren "stabil" so eingerichtet. Niemand hat Admin Zugriff außer ich selbst und das Problem trat "auf einmal" auf.
Ich weiß, dass es stabil und korrekt war, weil ich noch letztlich einer Mitarbeiterin es eingerichtet habe und ich habe IMMER zur Sicherheit geschaut, dass nur die berechtigten Verzeichnisse erscheinen (warte also 5 Minuten).
UND: Im "File Station" konnten die Mitarbeiter - auch bei der Datenlücke am 08.06. NICHT unberechtigte Verzeichnisse sehen, sondern so, wie es sich gehörte. Also, es gab 100% eine Divergenz zwischen den Berechtigungen, die der Drive Client "durchgeschliffen" hat, nämlich "ALLES" versus der eingestellten Realität --> File Station (dort korrekt).
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
teilweise ist das seit Jahren "stabil"
Ist ja auch mal geil formuliert... ?

Also, es gab 100% eine Divergenz
Whatever, aber vllt muss man sich auch einfach mal die Frage stellen, was bei Dir/euch so dermaßen anders ist, dass anscheinend "niemand sonst auf der Welt" genau dieses Problem hat. Seit sicherlich nicht allein mit der Drive-Nutzung und so wie Synology auf die <piep> haut, sind sicherlich noch mehr blind den Werbeversprechen hinterher gerannt, also "könnt" ihr garnicht die einzigen sein und es "muss" definitiv noch mehr Fälle geben. Ausser natürlich...... aber das hast Du ja schon "100%"ig ausgeschlossen...

Haste denn überhaupt nochmal nachgeschaut? Also nicht "hier", sondern im "offiziellen" Forum und die sonstigen Quellen gecheckt (reddit und Co.)?
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.593
Punkte für Reaktionen
910
Punkte
174
Ohne jetzt Synology in Schutz nehmen zu wollen. Ein derartiges Datenleck wäre mir schon längst aufgefallen. Haben wir hier aber nicht.

Gut wir haben hier auch nicht einen Share, in dem dann irgendwie Rechte vergeben werden, sondern 12, auf die eben dann die Usergruppen zugreifen dürfen, oder nicht. Und selbst wenn 2 Gruppen zur Zeit nur ein Mitglied haben, ist das besser als ein Share, wo jeder User dann irgendwelche Rechte kriegt, die dann schlussendlich zum sogenannten Leck führen…

Und es ist egal, ob das jetzt eine, zwei, oder x Synos sind. Wenn das Setup bei x Synos so ist, wird bei x Synos irgendwann der gleiche Fehler auftreten.

Das ist kein Fehler von Drive, das ist ein Fehler in der Konfiguration (und dafür kann Drive aber nix).
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.166
Punkte für Reaktionen
1.652
Punkte
308
Und selbst wenn es hier tatsächlich einen Fehler geben sollte, so liegt der mit Sicherheit nicht beim Drive-Client.
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.593
Punkte für Reaktionen
910
Punkte
174
Und auch nicht an Drive-Server. Die Anwendung macht ja auch nicht, was ihr gerade einfällt, sondern das, was konfiguriert ist (zumindest bei uns).
 
  • Like
Reaktionen: blurrrr

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Ich glaube nicht, dass dieser "Fehler" von heute auf morgen (wortwörtlich) aufgetreten ist, sondern schon länger nach einer ungewollt, fehlerhaften ACL Veränderung besteht und erst jetzt aufgefallen ist!
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
@NSFH gut möglich.

Rausfinden werden wir es wohl nie. „Da die beiden synos bzw. DSM schuld sind“ (bin da eher skeptisch), befürchte ich, werden wir hier nicht mehr viel zu hören.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
UND: Im "File Station" konnten die Mitarbeiter - auch bei der Datenlücke am 08.06. NICHT unberechtigte Verzeichnisse sehen, sondern so, wie es sich gehörte.
...UND... einmal kurz die Rechte verhunzt reicht ja schon, auch wenn man sie kurz drauf wieder gradebiegt... Ich würde eher mal schauen, wann die letzten "ungewollten" Syncs durchgelaufen sind (z.B. anhand vom Änderungsdatum von Dateien, auf welche die Leute keinen Zugriff haben "sollten" bzw. nicht mehr "haben"), aber vermutlich ist man schon panisch durch die Gegend gerannt und hat wieder überall alles gelöscht, womit sich die Möglichkeit vermutlich auch nicht mehr anbietet. Alternativ halt noch in die Sync-Logs schauen, wann genau die Daten (unberechtigterweise (sag ich mal so unter Vorbehalt)) synchronisiert worden sind. In einer entsprechend großen Firma ("AG" ist ja nun nicht "klein") wird man ja sicherlich auch Protokoll über getätigte Änderungen führen und so kann man dann einfach mal 1 und 1 zusammenzählen...
 
Zuletzt bearbeitet:

smartinmedia

Benutzer
Mitglied seit
08. Jun 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Danke für den Kommentar. Bei uns kann keiner panisch durch die Gegend gelaufen sein und alles geändert haben, weil nur ich Admin Zugriff auf diese Synology habe. Ich weiß genau, was ich gemacht habe. Ich hatte am 31.05. den Cloud Station Server deinstalliert und den Drive Station Server installiert. Ich habe die Logs eben nachgesehen, da gab es keine ungewöhnliche Aktivität, aber der zeigt ja anscheinend auch nicht die Synchronisierungstätigkeiten (oder könnte ich die bei installieren Clients nachsehen)?
Und die Rechte habe ich nicht verändert.
Unsere AG hat tatsächlich nur 30 Mitarbeiter (ist halt keine öffentliche AG). Wie auch immer, ich bin mir meiner Sache sicher, vermutlich nutzen die meisten die Synologys weltweit mit getrennten Share Folder und nicht so wie wir. Im Hobby-Bereich wird man die Fehler sowieso nie sehen.
 
Zuletzt bearbeitet von einem Moderator:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Najo, wie gesagt, ihr werdet ja sicherlich Dateien haben, an denen auch gearbeitet wird... :unsure:? Wenn vom Sync her kein Log existiert, würde ich mir einfach mal einen betroffenen Client schnappen und nachschauen, auf welchem Stand die Dateien dort sind, so dass man das ganze mitunter auch einfach zeitlich eingrenzen kann (also ungefähr den Zeitpunkt der ungeplanten Synchronisation festlegen kann).
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.593
Punkte für Reaktionen
910
Punkte
174
Im Hobby-Bereich wird man die Fehler sowieso nie sehen.
Wir sind zwar keine nicht-öffentliche AG (was auch immer das ist) und haben auch keine 30 MA. Dennoch läuft Drive hier in einer Businessumgebung. Und (wie schon gesagt) ein derartiger Fehler wäre mir aufgefallen.
 
  • Like
Reaktionen: Jagnix


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat