Cloud Station Datenleck in Synology Drive Client

[NSFH]

Gibt es hier wirklich noch Novell Erfahrene?
Waren das noch Zeiten mit den Compaq Servern und Novell. Stabil lief das Zeugs aber, da gibt es nichts.
Was damals das Schönste war: Die Nutzer hatten von all dem keine Ahnung und man wurde als Admin nicht ständig mit ungarem Halbwissen belästigt. Heute ist jeder Admin, der versehentlich sein Windows zum Laufen gebracht hat................

Aber zum Thema zurück: Der TE sollte mal genauestens seine ACL überprüfen. Ich bin mir ziemlich sicher, dass er dort falsche Einstellungen finden wird.

 

[Adama]

Ich will den Thread nicht verwässern, aber ich z.B.
Erst 2.xx, dann 3.xx, als letztes 4.xx inkl. der Linux-Varianten...
Gruppen in Gruppen? Ih gitt...
Und man konnte Ous zum Berechtigen ranziehen... Und es gab nur den Tree... Domänen, was für ein Blödsinn...

 

[NSFH]

ja früher, da war alles besser

 

[smartinmedia]

Hallo zusammen,
ich schaffe es erst jetzt, mich zu melden.
Also, ich hatte ein Ticket mit Synology aufgesetzt und erst jetzt geraden denen meine Antwort gepostet (die sagen, sie wissen von nichts):

Thank you for your reply. I will write you in English, although you are probably as myself in Germany, but then you may be able to route this somewhere internationally.

So, this is a huge issue and I suspect it has come to Synology's awareness as I noticed on the eventing of the problem that the "Synology Drive Client" had disappeard from the download page in its Windows version. I also posted the problem here: https://www.synology-forum.de/threads/datenleck-in-synology-drive-client.115084/#post-945909

To clarify: We have 2 companies (www.smartinmedia.com and www.easyradiology.net), which both have 2 independent Synology systems. It happened on both of them.

What happened: appr. 3-4 years ago we configured the system that we have only 1 "Shared folder" (because it is tedious to configure e. g. 10 share folders and connect to them single-handedly with the Synology drive client for each employee) and all employees had "Read access" to the highest level and below that different access rights to the next folder level.

E. g. the Shared folder's name was "Share" and below that we had "Marketing", "Sales", "Product management", "HR", "Legal", etc pp.

Employees had Synology Drive Client (latest version 11112) running on their windows machines.

By now we have almost 30 employees and had set the access rights for them via e. g. groups. This ALWAYS worked correctly.

Then, in order to install the Drive client for a new employee, the software said that we needed to upgrade the server software from Cloud Station Server to Drive Station Server, which I did. If it happened because of that I cannot say, but anyway even on the Synology of the other company (where Synology Drive Station Server was running all the time without the need for upgrade), the problem ocurred.


On June 8th, an employee called me that she had access to all folders, which she never had. We immediately secured all computers of all employees and stopped the Synology service and in appr. 50% of the employees they had unrightfully full access to the folders, the other did not.

When I logged on with their respective account into the browser-UI and opened "File Station", all the rights were set correctly, i. e. the employees could not see what they were not supposed to see, but on Windows in the Synology Drive Client they could.

We now moved all critical folders to separate Shared folders and haven't had a problem since, but I am 100% sure that there is a huge security flaw in your system. Again, it ran perfectly for years and then it ocurred on 2 different systems.
I am happy to make a e. g. Teams / Zoom call with you and guide you through our system and its settings.

This is the "Shared folder":



We had blocked inheritance from that Shared folder for all users:





And in an example folder below, only management group should have had access (not all users):




Best regards

 

[smartinmedia]

Davon ab hört sich das ja eher wie eine erneute Aktivierung der Vererbung auf oberster Ebene an, habt ihr das mal gecheckt? Ich persönlich stehe derzeit eigentlich eher zu 101% hinter dieser Aussage hier:



Sowas ist nämlich wesentlich wahrscheinlicher, als dass bei y/x Geräten irgendwelche dubiosen Berechtigungsfehler auftreten... Aber sicher, kann man auch erstmal nackt im Kreis tanzen und danach dem Hersteller alles in die Schuhe schieben. Nur extrem merkwürdig, dass bisher noch "niemand sonst"(!) dieses Problem hatte und auch nicht alle eurer Geräte... Würde mir ja schon zu denken geben... ?

Nein, wir haben das bei 2 getrennten Synologys - bei beiden ist das passiert - teilweise ist das seit Jahren "stabil" so eingerichtet. Niemand hat Admin Zugriff außer ich selbst und das Problem trat "auf einmal" auf.
Ich weiß, dass es stabil und korrekt war, weil ich noch letztlich einer Mitarbeiterin es eingerichtet habe und ich habe IMMER zur Sicherheit geschaut, dass nur die berechtigten Verzeichnisse erscheinen (warte also 5 Minuten).
UND: Im "File Station" konnten die Mitarbeiter - auch bei der Datenlücke am 08.06. NICHT unberechtigte Verzeichnisse sehen, sondern so, wie es sich gehörte. Also, es gab 100% eine Divergenz zwischen den Berechtigungen, die der Drive Client "durchgeschliffen" hat, nämlich "ALLES" versus der eingestellten Realität --> File Station (dort korrekt).

 

[blurrrr]

teilweise ist das seit Jahren "stabil"

Ist ja auch mal geil formuliert... ?

Also, es gab 100% eine Divergenz

Whatever, aber vllt muss man sich auch einfach mal die Frage stellen, was bei Dir/euch so dermaßen anders ist, dass anscheinend "niemand sonst auf der Welt" genau dieses Problem hat. Seit sicherlich nicht allein mit der Drive-Nutzung und so wie Synology auf die <piep> haut, sind sicherlich noch mehr blind den Werbeversprechen hinterher gerannt, also "könnt" ihr garnicht die einzigen sein und es "muss" definitiv noch mehr Fälle geben. Ausser natürlich...... aber das hast Du ja schon "100%"ig ausgeschlossen...

Haste denn überhaupt nochmal nachgeschaut? Also nicht "hier", sondern im "offiziellen" Forum und die sonstigen Quellen gecheckt (reddit und Co.)?

 

[RichardB]

Ohne jetzt Synology in Schutz nehmen zu wollen. Ein derartiges Datenleck wäre mir schon längst aufgefallen. Haben wir hier aber nicht.

Gut wir haben hier auch nicht einen Share, in dem dann irgendwie Rechte vergeben werden, sondern 12, auf die eben dann die Usergruppen zugreifen dürfen, oder nicht. Und selbst wenn 2 Gruppen zur Zeit nur ein Mitglied haben, ist das besser als ein Share, wo jeder User dann irgendwelche Rechte kriegt, die dann schlussendlich zum sogenannten Leck führen…

Und es ist egal, ob das jetzt eine, zwei, oder x Synos sind. Wenn das Setup bei x Synos so ist, wird bei x Synos irgendwann der gleiche Fehler auftreten.

Das ist kein Fehler von Drive, das ist ein Fehler in der Konfiguration (und dafür kann Drive aber nix).

 

[synfor]

Und selbst wenn es hier tatsächlich einen Fehler geben sollte, so liegt der mit Sicherheit nicht beim Drive-Client.

 

[RichardB]

Und auch nicht an Drive-Server. Die Anwendung macht ja auch nicht, was ihr gerade einfällt, sondern das, was konfiguriert ist (zumindest bei uns).

 

[NSFH]

Ich glaube nicht, dass dieser "Fehler" von heute auf morgen (wortwörtlich) aufgetreten ist, sondern schon länger nach einer ungewollt, fehlerhaften ACL Veränderung besteht und erst jetzt aufgefallen ist!

 

[tproko]

@NSFH gut möglich.

Rausfinden werden wir es wohl nie. „Da die beiden synos bzw. DSM schuld sind“ (bin da eher skeptisch), befürchte ich, werden wir hier nicht mehr viel zu hören.

 

[blurrrr]

UND: Im "File Station" konnten die Mitarbeiter - auch bei der Datenlücke am 08.06. NICHT unberechtigte Verzeichnisse sehen, sondern so, wie es sich gehörte.

...UND... einmal kurz die Rechte verhunzt reicht ja schon, auch wenn man sie kurz drauf wieder gradebiegt... Ich würde eher mal schauen, wann die letzten "ungewollten" Syncs durchgelaufen sind (z.B. anhand vom Änderungsdatum von Dateien, auf welche die Leute keinen Zugriff haben "sollten" bzw. nicht mehr "haben"), aber vermutlich ist man schon panisch durch die Gegend gerannt und hat wieder überall alles gelöscht, womit sich die Möglichkeit vermutlich auch nicht mehr anbietet. Alternativ halt noch in die Sync-Logs schauen, wann genau die Daten (unberechtigterweise (sag ich mal so unter Vorbehalt)) synchronisiert worden sind. In einer entsprechend großen Firma ("AG" ist ja nun nicht "klein") wird man ja sicherlich auch Protokoll über getätigte Änderungen führen und so kann man dann einfach mal 1 und 1 zusammenzählen...

 

[smartinmedia]

Danke für den Kommentar. Bei uns kann keiner panisch durch die Gegend gelaufen sein und alles geändert haben, weil nur ich Admin Zugriff auf diese Synology habe. Ich weiß genau, was ich gemacht habe. Ich hatte am 31.05. den Cloud Station Server deinstalliert und den Drive Station Server installiert. Ich habe die Logs eben nachgesehen, da gab es keine ungewöhnliche Aktivität, aber der zeigt ja anscheinend auch nicht die Synchronisierungstätigkeiten (oder könnte ich die bei installieren Clients nachsehen)?
Und die Rechte habe ich nicht verändert.
Unsere AG hat tatsächlich nur 30 Mitarbeiter (ist halt keine öffentliche AG). Wie auch immer, ich bin mir meiner Sache sicher, vermutlich nutzen die meisten die Synologys weltweit mit getrennten Share Folder und nicht so wie wir. Im Hobby-Bereich wird man die Fehler sowieso nie sehen.

 

[blurrrr]

Najo, wie gesagt, ihr werdet ja sicherlich Dateien haben, an denen auch gearbeitet wird... ? Wenn vom Sync her kein Log existiert, würde ich mir einfach mal einen betroffenen Client schnappen und nachschauen, auf welchem Stand die Dateien dort sind, so dass man das ganze mitunter auch einfach zeitlich eingrenzen kann (also ungefähr den Zeitpunkt der ungeplanten Synchronisation festlegen kann).

 

[RichardB]

Im Hobby-Bereich wird man die Fehler sowieso nie sehen.

Wir sind zwar keine nicht-öffentliche AG (was auch immer das ist) und haben auch keine 30 MA. Dennoch läuft Drive hier in einer Businessumgebung. Und (wie schon gesagt) ein derartiger Fehler wäre mir aufgefallen.