Hacker News 中文摘要

RSS订阅

GoDaddy未经任何文件验证就将域名转给陌生人 -- GoDaddy Gave a Domain to a Stranger Without Any Documentation

文章摘要

GoDaddy在未经通知或验证的情况下,将客户使用了27年的域名转移给陌生人,导致客户所有网站和邮件服务中断。尽管账户启用了双重认证和所有权保护,审计日志仅显示为"内部用户"操作的未经验证的转移。客户技术支持拖延四天后才告知域名已归属他人。事件暴露了GoDaddy严重的域名管理漏洞。

文章总结

标题:GoDaddy在无任何凭证的情况下将域名转给陌生人

核心事件: - 美国IT公司Flagstream Technologies客户使用27年的域名HELPNETWORKINC.ORG(化名)在未收到预警的情况下,被GoDaddy内部员工于2026年4月18日13:42转移至陌生账户,导致该非营利组织全国20个分部的网站和邮件服务全面瘫痪。

安全漏洞细节: 1. 账户保护失效: - 启用双因素认证(邮箱+验证器应用) - 购买GoDaddy"全域名隐私保护"服务 - 审计日志显示操作为"内部用户转移",验证状态为"未验证"

  1. 荒谬的转移流程:
    • 实际转移仅耗时4分钟(从收到账户恢复邮件到完成转移)
    • 接收方Susan(化名)未提交任何凭证,仅因邮件签名包含该域名子链接就获得所有权
    • GoDaddy发送的凭证上传链接在Susan使用前已失效

危机处理过程: - 32次客服通话(累计9.6小时) - 17封邮件(零回复) - 提交7个独立案件号(01368489等),每次需重新说明情况 - 争议表单承诺48小时回复,实际四天后收到"案件已结案"通知

最终解决: - 误收域名的Susan主动联系Flagstream - 账户间转移操作仅用5分钟恢复域名 - 非GoDaddy官方渠道解决,而是依靠第三方善意

暴露的系统性问题: 1. 安全机制全面失效: - 内部人员可绕过所有保护措施 - 争议解决渠道分散且低效(undo@/transferdisputes@/artreview@等多个混乱邮箱)

  1. 企业级风险:

    • 若域名落入恶意方手中,可导致:
    • 全组织邮件劫持
    • 支付系统篡改
    • 网络钓鱼攻击
  2. 漏洞反馈机制缺陷:

    • security@godaddy.com邮箱失效
    • 仅能通过HackerOne平台提交报告(#3696718)

后续影响: - Flagstream计划将所有客户域名迁出GoDaddy - 暴露域名注册商系统性风险:即使采取最高级保护措施,企业仍面临无预警失去核心数字资产的风险

时间线摘要: 4.18 13:39 收到账户恢复通知 → 13:42 内部发起转移 → 13:43 转移完成
4.19-21 多方联系GoDaddy未果 → 被迫启动域名迁移
4.22 Susan发现错误并协助返还域名

(注:文中组织名称、域名等敏感信息已按当事人要求进行脱敏处理,但事件经过完全属实)

评论总结

总结评论内容如下:

主要观点1:GoDaddy服务问题严重 - 多数用户批评GoDaddy存在诸多问题,如域名管理界面存在诱导消费的"黑暗模式"、服务不可靠等。 - 关键引用: - "The amount of dark patterns in product management...make it a very poor choice as a registrar"(评论2) - "Godaddy is pretty awful in a lot of things."(评论3)

主要观点2:建议更换注册商 - 多位用户建议使用其他更可靠的域名注册商,如Dynadot、Porkbun等。 - 关键引用: - "I’d rather work with a smallish and responsible registrar like porkbun"(评论6) - "getting all of my domains off of GoDaddy"(评论22)

主要观点3:法律维权建议 - 部分用户认为受害者应通过法律途径维权,包括仲裁或诉讼。 - 关键引用: - "This is a textbook case for suing for compensation and punitive damages."(评论5) - "Flagstream should still get lawyers involved"(评论21)

主要观点4:内部流程问题 - 有评论指出GoDaddy内部流程存在严重缺陷,导致客户受损。 - 关键引用: - "due to an employee error...they don’t have a process to address the situation"(评论16) - "Corporates have a huge blind spot...everything is just a process"(评论16)

主要观点5:安全风险警示 - 用户警告使用GoDaddy可能带来严重安全风险,包括域名被劫持等。 - 关键引用: - "you are effectively locked out of any online business accounts"(评论13) - "When is people gonna stop using that crap name server??"(评论17)

不同观点: 少数用户提到GoDaddy的经纪服务尚可(评论3),但整体评价仍以负面为主。