Domínio da GoDaddy foi transferido para outra pessoa sem nenhum documento

 (anchor.host)
4 pontos por GN⁺ 3 일 전 | 2 comentários | Compartilhar no WhatsApp
  • Um domínio operado há 27 anos foi movido para outra conta da GoDaddy sem aviso prévio, deixando o site e o e-mail vinculados fora do ar por 4 dias
  • A conta tinha autenticação em duas etapas ativada e a proteção de domínio também estava habilitada, mas o log de auditoria mostrou que um Internal User executou Transfer to Another GoDaddy Account e a validação permaneceu como não realizada
  • No processo de disputa, a GoDaddy orientou repetidamente o envio para vários endereços de e-mail e abriu novos números de caso; após 4 dias, encerrou o assunto dizendo que os documentos necessários haviam sido enviados, sem informar quais eram
  • A recuperação real não foi feita pela equipe da GoDaddy: ela aconteceu quando a pessoa que recebeu o domínio por engano encontrou um domínio estranho em sua conta e colaborou diretamente; com a transferência entre contas, o domínio voltou para a conta original em menos de 5 minutos
  • O fato de essa transferência ter sido aprovada sem envio de documentos expôs riscos de segurança como interceptação de e-mails, redefinição de senhas e alteração de rotas de pagamento, aumentando o temor de que ameaças do mesmo tipo sejam difíceis de impedir no futuro

Visão geral do caso

  • Um domínio usado há 27 anos foi movido da conta da GoDaddy para outra conta da GoDaddy sem aviso prévio, derrubando por 4 dias o site e o e-mail da organização
    • A conta tinha dupla autenticação em duas etapas ativada, e o domínio estava coberto pelo Full Domain Privacy and Protection da GoDaddy
    • No log de auditoria constavam Transfer to Another GoDaddy Account, executor Internal User e Change Validated: No
  • Logo após a transferência, a GoDaddy redefiniu a zona DNS para o padrão, e embora o nameserver tenha permanecido o mesmo, o arquivo de zona ficou vazio, colocando todos os serviços offline
    • Esse domínio era o domínio principal usado por 20 filiais em todo o território dos EUA, e os sites e e-mails de cada filial dependiam de seus subdomínios
  • O e-mail de solicitação de recuperação de conta chegou às 13:39 de sábado, e o processo foi marcado como iniciado 3 minutos depois e concluído 4 minutos depois
  • A parte afetada fez 32 ligações, passou 9,6 horas em chamadas e enviou 17 e-mails, mas não recebeu nenhuma ligação de retorno

Resposta da GoDaddy e tratamento da disputa

  • No primeiro contato, a GoDaddy confirmou que o domínio não estava mais na conta, mas se recusou a informar para onde ele havia sido movido por motivo de privacidade
  • A cada novo contato, um novo número de caso era criado, sem continuidade do histórico anterior, obrigando a reiniciar toda a escalada do zero
    • O texto cita números de caso reais como 01368489, 894760, 01376819, 01373017, 01376804, 01373134 e 01370012
  • A disputa de domínio foi registrada pelo caminho cas.godaddy.com/Form/TransferDispute, e a parte solicitante enviou nome do registrante, carteira de motorista e documentos da empresa
    • A cada envio, o prazo estimado de resposta repetia 48 a 72 horas
  • Após 4 dias, a GoDaddy enviou apenas um e-mail dizendo que o registrante havia fornecido os documentos necessários, por isso a alteração de conta foi executada e o caso foi encerrado
    • Nunca explicou quais documentos haviam sido apresentados
    • Como orientação posterior, enviou apenas links para consulta WHOIS, provedor de arbitragem da ICANN e página sobre contratação de advogado

Interrupção operacional e recuperação temporária

  • Depois de a GoDaddy comunicar o encerramento do caso, a organização afetada iniciou uma migração emergencial para um novo domínio
    • Durante a noite, fez a troca para novos endereços de e-mail e um novo endereço de site
  • Como não conseguia controlar o domínio antigo, aumentou o impacto sobre todos os endereços de e-mail, materiais de marketing e ativos acumulados de SEO
    • Os e-mails enviados ao endereço antigo inevitavelmente retornariam
    • Todo material impresso e conteúdo externo ainda com o domínio antigo passou a carregar informações incorretas
  • Depois que o domínio original voltou, foi preciso desfazer o trabalho do dia anterior e migrar novamente e-mail e site para o domínio antigo

Causa real e caminho da recuperação

  • Na manhã seguinte, outra pessoa, a 2.000 milhas da sede da organização afetada, percebeu que havia um domínio estranho em sua conta da GoDaddy
    • Essa pessoa estava tentando recuperar outro domínio usado por um ex-funcionário
  • Ao colaborar com ela e executar a transferência entre contas da GoDaddy, o domínio voltou para a conta original em menos de 5 minutos, e o DNS começou a se recuperar imediatamente
  • A solução real não veio da equipe de suporte da GoDaddy, da equipe de disputas nem do time do escritório do CEO, mas da própria pessoa que recebeu o domínio por engano, ao perceber o problema e entrar em contato diretamente

Transferência aprovada sem documentação

  • A parte que recebeu o domínio por engano era uma filial regional da mesma rede e havia solicitado à GoDaddy, duas semanas antes, a recuperação de outro domínio
    • O domínio solicitado era HELPNETWORKLOCAL.ORG, mas o domínio realmente transferido foi HELPNETWORKINC.ORG
  • Na assinatura de e-mail dessa pessoa havia um site em subdomínio de HELPNETWORKINC.ORG, e aparentemente a equipe de recuperação da GoDaddy viu o domínio principal na assinatura e transferiu esse domínio para a conta
  • A GoDaddy enviou um link para upload de documentos comprobatórios, mas ele expirou antes de ser usado
    • Mesmo após pedir um novo link, o e-mail de aprovação da transferência de domínio chegou antes do novo link
  • No fim, essa pessoa não enviou nenhum documento, nem para o domínio que queria recuperar originalmente, nem para o domínio que recebeu de fato
    • Ainda assim, a GoDaddy moveu o domínio de uma organização sem fins lucrativos com 27 anos de existência para outra conta e depois encerrou a disputa

Impacto de segurança

  • O texto afirma que, se o destinatário fosse malicioso, seria possível realizar interceptação de e-mails, redefinição de senhas, recebimento de códigos de MFA, phishing, distribuição de malware e alteração de rotas de pagamento
  • Enquanto não sabia onde o domínio estava, a organização afetada teve de se preparar para orientar todos os usuários a remover o domínio comprometido de contas de serviços críticos
    • Entre os alvos estavam bancos, Amazon, IRS, sistema de folha de pagamento, Dropbox, contas de e-mail e até a própria conta da GoDaddy
  • O simples fato de uma transferência desse tipo ter sido aprovada sem documentos já se mostrou um grave problema de segurança

Problemas no canal de reporte de segurança e medidas posteriores

  • Antes da publicação, foi enviado um e-mail para security@godaddy.com a fim de compartilhar diretamente o resultado da apuração com a equipe de segurança da GoDaddy, mas a mensagem voltou
    • A resposta automática dizia que essa caixa de e-mail não era mais monitorada e indicava como alternativas o Abuse Reporting Form e https://hackerone.com/godaddy-vdp
  • O mesmo relatório acabou sendo enviado pelo HackerOne, e o texto menciona o report #3696718
  • A estrutura em que o canal oficial não funciona e apenas quem conhece rotas alternativas consegue chegar aos responsáveis se repetiu no mesmo padrão da resposta a essa falha de 4 dias
  • As medidas posteriores exigidas no texto original são claras
    • A Flagstream Technologies deve ser contatada diretamente por uma pessoa responsável identificada pelo nome
    • Em vez de uma conta de e-mail pública e genérica, deve ser fornecido um endereço de e-mail com possibilidade de resposta e um número de telefone
    • Devem ser revisados internamente o processo de validação da transferência e o motivo pelo qual ela foi aprovada sem documentação

Próximos passos ainda em aberto

  • A preocupação maior da parte afetada é que, enquanto mantiver seus domínios na GoDaddy, não vê como impedir ameaças desse mesmo tipo no futuro
  • O texto diz que a Flagstream provavelmente transferirá todos os seus domínios para fora da GoDaddy
  • Ao final, fica a reflexão de que, se você mantém domínios na GoDaddy, precisa avaliar por conta própria como reagiria se um domínio desaparecesse da sua conta e paralisasse toda a operação do negócio

Leituras relacionadas

2 comentários

 
ndrgrd 2 일 전

Sempre que vejo algo assim, fico pensando se seria tão difícil projetar sistemas de um jeito em que não seja possível contornar ou falhar no processo, mesmo sem precisar ler um monte de documentação.
 
GN⁺ 3 일 전
Comentários do Hacker News

  • A fama da GoDaddy é tão ruim que ela tem até uma página própria na Wikipédia
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • O histórico da GoDaddy é tão ruim que só juntar casos antigos já dá contexto suficiente
    Jan 2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Jan 2019: GoDaddy injecting JavaScript into websites and how to stop it
    Aug 2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Dec 2022: GoDaddy buying domains when they expire to extort their own users
    Jul 2023: Godaddy just stole my domain
    Jan 2024: Tell HN: GoDaddy Stole My Domain

    • Em 2011, chegou até a apoiar o SOPA, e nunca retirou de fato esse apoio
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      Sempre pareceu uma empresa em que a pose vinha antes da tecnologia, e em que a equipe técnica só estava lá pelo salário, sem muito interesse em clientes ou qualidade; na prática, o comportamento acabou mostrando exatamente isso
    • A reputação ruim é tão grande que existe até uma página na Wikipédia só para isso, e nem ali nem na sua lista entra a questão do bloqueio por país inteiro
    • A GoDaddy chegou a fazer bloqueio de países inteiros, e lembro que por um tempo isso atingia não só o site da empresa, mas também o serviço de DNS dos clientes
      Nesse caso, em certos países nem o próprio site do cliente poderia ser acessado
      É caro e entrega tão pouco valor que não entendo por que alguém usa
    • O primeiro link de certificado SSL de 2017 está errado; o link correto é https://news.ycombinator.com/item?id=13377214
      O link atual aponta para esta própria thread
    • Basta procurar discussões sobre a GoDaddy no velho Slashdot
      Desde a época em que tive meu primeiro computador, GoDaddy já era vista como NoDaddy
      Um dos poucos casos do começo/meados dos anos 2000 em que vi programadores chamarem algo abertamente de misógino era justamente sobre o estande da GoDaddy em convenções, e isso ainda ficou na memória

  • No começo, isso parece coisa de alguém de dentro
    Na AWS também houve caso de conta comprometida mesmo com toda a configuração de segurança feita, e depois descobriram que a causa eram terceirizados internos
    Até então, a AWS só me culpava sem base nenhuma; só depois que entrei em contato com o gabinete do procurador-geral do estado é que começaram a investigar e um gerente passou a tratar o caso direito

    • No fim do artigo há uma explicação
      Outro cliente da GoDaddy pediu a transferência de um domínio com nome parecido, e no processo eles acabaram transferindo o domínio errado
    • Isso parece menos ação maliciosa de um insider e mais processamento interno incompetente
      O funcionário simplesmente não seguiu o procedimento, e ainda leu o e-mail de forma absurdamente errada, transferindo o domínio errado
    • Essa interpretação não faz muito sentido
      O motivo de ter sido possível reverter foi justamente que quem recebeu o domínio avisou ao suporte da GoDaddy que ele havia sido transferido por engano
      Não vejo como isso poderia ser considerado armação interna
    • Se você ler a matéria direito, o domínio foi parar com alguém de um capítulo regional da mesma organização, essa pessoa percebeu a situação e entrou em contato com o dono original para resolver
      Em nenhum sentido isso parece um inside job
    • Por que alguém de dentro colocaria um domínio aleatório na conta de um desconhecido se não tinha intenção nenhuma de usar?
      A pessoa que recebeu ainda se mexeu para devolver ao dono original, então é difícil sustentar que tenha sido um roubo intencional

  • O texto destacou três pontos: todos os endereços de e-mail inválidos, todo o material de marketing com erro e perda de SEO, mas acho que faltou o maior
    Se você perde o domínio, entra imediatamente em situação de bloqueio de contas online que enviam códigos de verificação de login estranho por e-mail
    Banco, CRM e vários serviços de negócios podem ficar indisponíveis em cascata

    • Sim, 2FA por e-mail já é arriscado por natureza, e com a incompetência do registrador fica ainda mais assustador
    • Alguns anos atrás, parecia melhor vincular tudo ao e-mail do domínio
      Como o domínio é seu, em tese você pode hospedar em qualquer lugar, então parecia o ideal
      Mas pensando nesse tipo de cenário catastrófico, no fim acabei deixando o Gmail como backup
      Felizmente, na UE ainda se dá bastante importância à verificação do proprietário real, então mesmo com um erro desses há boa chance de resolver em poucas horas
    • O efeito em cadeia é maior do que dá para imaginar
      Se tudo está preso àquele e-mail, isso fica pior do que perder o celular ou o SIM, e é parecido com estar fora do país sem poder usar o número, só que pior
    • Isso é realmente central, e eu nem tinha pensado nisso
    • Se isso tivesse sido um roubo direcionado, a chance de fraude seria enorme
      Como e-mail e vários contatos usam o mesmo domínio, alguém se passando por você poderia continuar respondendo às mensagens como se nada tivesse acontecido
      Mais assustador ainda: se a GoDaddy entregasse algo como npmjs.com desse jeito, dá até para pensar que alguém viraria crypto billionaire da noite para o dia

  • Acho melhor registrar o domínio como marca
    Custa algumas centenas de dólares, dá para fazer online, e aí seus direitos ficam muito mais fortes perante a ICANN, sequestradores de domínio, typosquatters, registradores e até em tribunal
    Você também pode mandar uma notificação pesada em nome de advogado e pular a camada de suporte, escalando rápido para o jurídico
    ANIMATS®

    • Que estrutura péssima
      Você tem que pagar mais para ter mais capacidade de defesa da propriedade
    • Eu opero um registrador de domínios
      Minha opinião pessoal é que é melhor não trazer marca registrada para esse tipo de disputa
      No momento em que você levanta uma alegação de marca, o domínio é bloqueado para evitar alterações, e em geral você será orientado a abrir um UDRP
      Pode levar meses até sair uma decisão
      Notificação de advogado é parecida: salvo em casos bem específicos, não temos obrigação de gastar recursos com resposta jurídica
      Mas no momento em que você exige algum tratamento com base em direito legal, no fim só nos resta responder para buscar o tribunal competente ou o procedimento formal
    • Fico curioso para saber onde é possível fazer registro de marca online
      No Canadá, na prática é preciso usar advogado, e depois da pandemia o acúmulo ficou tão grande que às vezes levava 4 anos para concluir o registro
      Se desse para fazer isso online com facilidade, seria ótimo
    • Às vezes, mesmo com marca ela não ajuda muito
      No meu caso, eu tinha marca registrada nos EUA e anterioridade, e mesmo assim o Facebook derrubou meu site

  • Eu não entendia por que alguém usava GoDaddy nem 10 anos atrás, e continuo sem entender hoje

    • Ainda assim, é o maior registrar do mundo, e com folga
      Do ponto de vista de negócios, escolher o fornecedor mais conhecido costuma funcionar razoavelmente bem, e se espera que existam processos para lidar com várias situações
      Por isso este caso parece ainda mais grave
      Domínio é algo extremamente importante para o negócio, mas ao mesmo tempo é um setor estranho em que a receita por cliente quase não existe
      Toda a infraestrutura depende disso, mas custa algo como US$ 15 por ano, e basta um único chamado de suporte para esse cliente já deixar de ser rentável
    • Hoje em dia, a maioria dos compradores de domínio é de usuários não técnicos, e na verdade isso já faz tempo
      Se você perguntar a 100 pessoas onde comprar um domínio, é bem provável que GoDaddy fique disparado em primeiro
      A maioria provavelmente nem sabe das polêmicas de marca ou dos incidentes de segurança
    • Sim
      Dei até uma risada ao ver a expressão profissional de TI competente
      Quase nunca ouvi nada de bom sobre a GoDaddy
    • Mais empresas grandes do que se imagina usam GoDaddy
      E o suporte de managed hosting surpreendentemente é até bem decente
      Não gosto do serviço em si, mas alguns clientes meus usam, e sempre que havia problema no servidor o suporte resolvia rápido, o que era muito mais prático do que eu mesmo correr atrás
      Pelo menos até agora, o suporte era local e não terceirizado no exterior
    • O registro de domínio normalmente acontece no início do negócio, e pode até ser a primeira ação concreta do fundador
      Se for um fundador não técnico, ele simplesmente pesquisa buy a domain no Google e vai no primeiro resultado
      Depois, quando a estrutura de TI amadurece, deveria migrar para um fornecedor melhor, mas o registro costuma ser por vários anos com renovação automática, e se tudo funciona sem problemas a urgência do dia a dia acaba vencendo o risco teórico

  • Sinceramente, competência e deixar o domínio do cliente na GoDaddy não parecem combinar muito

    • Muita gente acaba prendendo DNS e serviços adicionais ao mesmo registrador
      É um erro, mas um padrão extremamente comum
      Quando já está tudo funcionando, não é fácil convencer um cliente que nunca teve problema a migrar DNS, hospedagem e e-mail também
    • Parece meio sarcástico, mas em algum momento era uma opção barata, e a pessoa pode simplesmente ter continuado com isso
      Depois que o Google Domains acabou, eu passei a usar bastante o Squarespace, porque o preço é aceitável e, acima de tudo, já está funcionando
      Pode até existir ferramenta melhor, mas migração consome tempo, traz risco de interrupção para o cliente e gera estresse
      Não é que eu não saiba subir uma VPS; é que há pouco motivo para gastar essas horas sem receber por isso
      Aqui pode ter acontecido algo parecido, e mesmo que o Lee seja muito competente, um foot gun antigo que parecia inofensivo pode simplesmente ter disparado tarde demais
      Não é o ideal, mas acontece bastante no mundo real, e pelo menos isso deixou ainda mais claro quais fornecedores eu vou evitar daqui para frente
    • Mesmo olhando todas as alternativas recomendadas aqui, ninguém pode garantir que nos próximos 5 anos aquela empresa não vá passar por enshittification, ser vendida para algum PE predatório, trocar o suporte por IA ou cortar 40% da equipe
      27 anos é tempo demais
      Um profissional de TI competente pode preparar planos de contingência para falhas previsíveis, mas não consegue controlar erros em nível de registrador
      Até empresas como a MarkMonitor, que se vendem como bulletproof domains, já cometeram falhas enormes
      E é fácil dizer para registrar um domínio novo no X; bem mais difícil é convencer a tirar um domínio antigo do Y
    • Então onde seria melhor deixar o domínio?
    • Não entendo por que dizem que isso não combina
      A GoDaddy é, afinal, um registrador oficial, e o cliente tinha até MFA duplo ativado
      O cliente fez tudo o que podia fazer
      Já ouvi falar da GoDaddy cometendo erros estranhos, mas um nível tão absurdo de transferência equivocada é a primeira vez que vejo
      Culpar a vítima aqui não é muito diferente de dizer que, se a pessoa não trancou a porta, então a culpa por ser roubada é dela
      Quem quebrou as regras foi a GoDaddy, e o cliente paga esperando que essas regras sejam seguidas
      Quando a conversa começa a cair para culpabilização da vítima, em geral é sinal de que se está do lado errado

  • A própria transferência do domínio errado já é incompetência, e se isso foi feito sem um único documento necessário, então é negligência clara
    É grave em vários níveis

    • Foi ainda pior o fato de, quando o dono original abriu um ticket, eles não reconhecerem o erro nem corrigirem imediatamente
    • Dá arrepios pensar nas consequências em cascata que uma transferência dessas pode causar

  • Por isso eu prefiro registradores responsáveis, mesmo que não sejam enormes, como a porkbun
    Ainda mais depois de já ter perdido domínio em registrador estilo “cheap name” no passado
    É só experiência pessoal, não tenho relação com nenhuma das duas empresas citadas

  • A GoDaddy já provou há muito tempo que é uma empresa podre
    Se o cliente não pagava na hora certa, eles seguravam o domínio e depois o colocavam de novo em leilão com um ágio absurdo, e esse é só um entre vários comportamentos nocivos
    Meu domínio principal ainda está em nic.ddn.mil / rs.internic.net, ou seja, no que hoje é a linhagem da Network Solutions
    Antigamente havia pelo menos uma ética de reservar um domínio por site físico para as gerações futuras, mas quando uma farmacêutica quis comprar uns 90 de uma vez, essa ética desapareceu na hora
    Mesmo assim, até aquele processo antigo que não conseguiu melhorar em décadas depois de virar fonte de receita ainda me parece mais confiável que a GoDaddy
    Entre quem entende do assunto, a GoDaddy já era piada conhecida há muito tempo