GoDaddy transferiu um domínio para um desconhecido sem qualquer documentação

 (anchor.host)
4 pontos por GN⁺ 14 일 전 | 2 comentários | Compartilhar no WhatsApp
  • Um domínio operado há 27 anos foi movido para outra conta da GoDaddy sem aviso prévio, deixando o site e o e-mail associados fora do ar por 4 dias
  • A conta tinha autenticação em dois fatores ativada e a proteção de domínio também estava habilitada, mas o log de auditoria mostrava que um Internal User executou Transfer to Another GoDaddy Account, e a validação ficou marcada como não realizada
  • No processo de disputa, a GoDaddy orientou repetidamente o uso de vários endereços de e-mail e novos números de caso e, 4 dias depois, encerrou o assunto dizendo que a documentação necessária havia sido enviada, sem revelar qual documentação era essa
  • A recuperação real não foi feita pela equipe da GoDaddy, mas pela pessoa que recebeu o domínio por engano, que encontrou um domínio incorreto em sua conta e colaborou diretamente; com a transferência entre contas, o domínio voltou para a conta original em menos de 5 minutos
  • O fato de essa transferência ter sido aprovada sem envio de documentos expôs riscos de segurança como interceptação de e-mail, redefinição de senha e alteração de rotas de pagamento, aumentando a preocupação de que será difícil impedir ameaças desse tipo no futuro

Visão geral do incidente

  • Um domínio usado havia 27 anos foi movido da conta GoDaddy sem aviso prévio para outra conta GoDaddy, deixando o site e o e-mail da organização fora do ar por 4 dias
    • A conta tinha dupla autenticação em dois fatores ativada, e o domínio estava com o Full Domain Privacy and Protection da GoDaddy habilitado
    • No log de auditoria constavam Transfer to Another GoDaddy Account, autor da ação Internal User e Change Validated: No
  • Logo após a mudança, a GoDaddy redefiniu a zona DNS para o padrão; os nameservers continuaram os mesmos, mas o arquivo de zona ficou vazio e todo o serviço saiu do ar
    • O domínio era o domínio principal usado por 20 filiais em todo os EUA, e os sites e e-mails de cada filial dependiam de seus subdomínios
  • O e-mail sobre a solicitação de recuperação da conta chegou às 13:39 de sábado, e foi processado com início da transferência 3 minutos depois e conclusão 4 minutos depois
  • A parte afetada fez 32 ligações, passou 9,6 horas em chamadas e enviou 17 e-mails, mas nunca recebeu retorno por telefone

Resposta da GoDaddy e tratamento da disputa

  • No primeiro contato, a GoDaddy confirmou que o domínio não estava mais na conta, mas se recusou a informar para onde ele tinha ido por motivos de privacidade
  • A cada novo contato, era criado um novo número de caso, sem continuidade do histórico anterior, obrigando o reinício de toda escalada
    • O texto traz números de caso reais como 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012
  • A disputa de domínio foi aberta pelo caminho cas.godaddy.com/Form/TransferDispute, e o solicitante enviou o nome do registrante do domínio, carteira de motorista e documentos comerciais
    • A cada envio, o prazo de resposta informado era repetidamente de 48 a 72 horas
  • Quatro dias depois, a GoDaddy enviou apenas um e-mail dizendo que o registrante havia fornecido a documentação necessária, que a alteração de conta tinha sido processada e que o caso estava encerrado
    • Nunca explicou quais documentos haviam sido apresentados
    • Como orientação posterior, forneceu apenas links para consulta WHOIS, provedores de arbitragem da ICANN e uma página sobre contratação de advogado

Interrupção operacional e trabalho de recuperação temporária

  • Depois de a GoDaddy informar o encerramento do caso, a organização afetada começou uma migração emergencial para um novo domínio
    • A troca para novos endereços de e-mail e novo endereço de site foi feita durante a noite
  • Como não era possível controlar o domínio antigo, o impacto sobre todos os endereços de e-mail, materiais de marketing e ativos acumulados de SEO aumentou
    • E-mails enviados para os endereços antigos inevitavelmente retornariam
    • O domínio antigo presente em materiais impressos e recursos externos passou a ser informação incorreta
  • Depois que o domínio original voltou, foi necessário migrar novamente o e-mail e o site de volta para o domínio original, desfazendo o trabalho feito no dia anterior

Causa real e caminho de recuperação

  • Na manhã seguinte, outra pessoa a 2.000 milhas da sede da organização afetada percebeu que havia um domínio errado dentro da sua conta GoDaddy
    • Essa pessoa estava tentando recuperar outro domínio usado por um ex-funcionário
  • Ao cooperar com ela e executar a transferência entre contas da GoDaddy, o domínio voltou para a conta original em menos de 5 minutos, e o DNS começou a ser restaurado imediatamente
  • A solução real não veio da equipe de suporte da GoDaddy, da equipe de disputas nem do escritório do CEO, mas da pessoa que recebeu o domínio por engano, que percebeu o problema e entrou em contato diretamente

Transferência aprovada sem documentos

  • Quem recebeu o domínio por engano era uma filial regional da mesma rede e, duas semanas antes, já havia solicitado à GoDaddy a recuperação de outro domínio
    • O domínio solicitado era HELPNETWORKLOCAL.ORG, mas o que foi transferido foi HELPNETWORKINC.ORG
  • Na assinatura de e-mail dessa pessoa havia o site em subdomínio de HELPNETWORKINC.ORG, e a equipe de recuperação da GoDaddy aparentemente viu o domínio principal na assinatura e moveu esse domínio para a conta
  • A GoDaddy enviou um link para upload de documentos comprobatórios, mas esse link expirou antes de ser usado
    • Mesmo após pedir um novo link, o e-mail de aprovação da transferência do domínio chegou antes do novo link
  • No fim, essa pessoa não enviou nenhum documento, nem para o domínio que queria recuperar originalmente nem para o domínio que realmente recebeu
    • Ainda assim, a GoDaddy moveu o domínio de uma organização sem fins lucrativos com 27 anos para outra conta e depois encerrou a disputa

Impacto de segurança

  • O texto diz que, se o destinatário tivesse sido malicioso, seriam possíveis interceptação de e-mail, redefinição de senha, recebimento de códigos MFA, phishing, distribuição de malware e alteração de rotas de pagamento
  • Enquanto não sabia onde o domínio estava, a organização afetada precisou se preparar para orientar todos os usuários a remover o domínio comprometido de contas de serviços importantes
    • Entre elas estavam banco, Amazon, IRS, sistema de folha de pagamento, Dropbox, contas de e-mail e até a própria conta da GoDaddy
  • O simples fato de uma transferência assim ter sido aprovada sem documentos revelou um grave problema de segurança

Problemas no canal de denúncia de segurança e medidas posteriores

  • Antes da publicação, foi enviado um e-mail para security@godaddy.com para mandar diretamente os resultados da apuração à equipe de segurança da GoDaddy, mas a mensagem voltou
  • O mesmo relatório acabou sendo enviado pelo HackerOne, e o texto menciona o report #3696718
  • O fato de os canais oficiais não funcionarem e de apenas quem conhece caminhos alternativos conseguir chegar aos responsáveis se repetiu no mesmo padrão da resposta a esta interrupção de 4 dias
  • As ações de acompanhamento exigidas no texto original são claras
    • A Flagstream Technologies deve ser contatada diretamente por um responsável identificado nominalmente
    • Deve ser informado um endereço de e-mail com possibilidade de resposta e um número de telefone, e não uma conta de e-mail genérica
    • É preciso revisar internamente os procedimentos de validação de transferência e como a aprovação ocorreu sem documentação

Próximos passos ainda em aberto

  • A preocupação maior da parte afetada é que, enquanto continuar mantendo domínios na GoDaddy, não há um modo visível de impedir esse mesmo tipo de ameaça no futuro
  • O texto afirma que a Flagstream provavelmente transferirá todos os seus domínios para fora da GoDaddy
  • Se você mantém domínios na GoDaddy, precisa verificar por conta própria como reagiria se o domínio desaparecesse da conta e todo o negócio parasse

Leituras relacionadas

2 comentários

 
ndrgrd 13 일 전

Sempre que vejo algo assim, fico pensando se seria tão difícil projetar sistemas de um jeito em que não seja possível contornar ou falhar no processo, mesmo sem precisar ler um monte de documentação.
 
GN⁺ 14 일 전
Comentários do Hacker News

  • A fama da GoDaddy é tão ruim que ela tem até uma página própria na Wikipédia
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • O histórico da GoDaddy é tão ruim que só juntar casos antigos já dá contexto suficiente
    Jan 2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Jan 2019: GoDaddy injecting JavaScript into websites and how to stop it
    Aug 2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Dec 2022: GoDaddy buying domains when they expire to extort their own users
    Jul 2023: Godaddy just stole my domain
    Jan 2024: Tell HN: GoDaddy Stole My Domain

    • Em 2011, chegou até a apoiar o SOPA, e nunca retirou de fato esse apoio
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      Sempre pareceu uma empresa em que a pose vinha antes da tecnologia, e em que a equipe técnica só estava lá pelo salário, sem muito interesse em clientes ou qualidade; na prática, o comportamento acabou mostrando exatamente isso
    • A reputação ruim é tão grande que existe até uma página na Wikipédia só para isso, e nem ali nem na sua lista entra a questão do bloqueio por país inteiro
    • A GoDaddy chegou a fazer bloqueio de países inteiros, e lembro que por um tempo isso atingia não só o site da empresa, mas também o serviço de DNS dos clientes
      Nesse caso, em certos países nem o próprio site do cliente poderia ser acessado
      É caro e entrega tão pouco valor que não entendo por que alguém usa
    • O primeiro link de certificado SSL de 2017 está errado; o link correto é https://news.ycombinator.com/item?id=13377214
      O link atual aponta para esta própria thread
    • Basta procurar discussões sobre a GoDaddy no velho Slashdot
      Desde a época em que tive meu primeiro computador, GoDaddy já era vista como NoDaddy
      Um dos poucos casos do começo/meados dos anos 2000 em que vi programadores chamarem algo abertamente de misógino era justamente sobre o estande da GoDaddy em convenções, e isso ainda ficou na memória

  • No começo, isso parece coisa de alguém de dentro
    Na AWS também houve caso de conta comprometida mesmo com toda a configuração de segurança feita, e depois descobriram que a causa eram terceirizados internos
    Até então, a AWS só me culpava sem base nenhuma; só depois que entrei em contato com o gabinete do procurador-geral do estado é que começaram a investigar e um gerente passou a tratar o caso direito

    • No fim do artigo há uma explicação
      Outro cliente da GoDaddy pediu a transferência de um domínio com nome parecido, e no processo eles acabaram transferindo o domínio errado
    • Isso parece menos ação maliciosa de um insider e mais processamento interno incompetente
      O funcionário simplesmente não seguiu o procedimento, e ainda leu o e-mail de forma absurdamente errada, transferindo o domínio errado
    • Essa interpretação não faz muito sentido
      O motivo de ter sido possível reverter foi justamente que quem recebeu o domínio avisou ao suporte da GoDaddy que ele havia sido transferido por engano
      Não vejo como isso poderia ser considerado armação interna
    • Se você ler a matéria direito, o domínio foi parar com alguém de um capítulo regional da mesma organização, essa pessoa percebeu a situação e entrou em contato com o dono original para resolver
      Em nenhum sentido isso parece um inside job
    • Por que alguém de dentro colocaria um domínio aleatório na conta de um desconhecido se não tinha intenção nenhuma de usar?
      A pessoa que recebeu ainda se mexeu para devolver ao dono original, então é difícil sustentar que tenha sido um roubo intencional

  • O texto destacou três pontos: todos os endereços de e-mail inválidos, todo o material de marketing com erro e perda de SEO, mas acho que faltou o maior
    Se você perde o domínio, entra imediatamente em situação de bloqueio de contas online que enviam códigos de verificação de login estranho por e-mail
    Banco, CRM e vários serviços de negócios podem ficar indisponíveis em cascata

    • Sim, 2FA por e-mail já é arriscado por natureza, e com a incompetência do registrador fica ainda mais assustador
    • Alguns anos atrás, parecia melhor vincular tudo ao e-mail do domínio
      Como o domínio é seu, em tese você pode hospedar em qualquer lugar, então parecia o ideal
      Mas pensando nesse tipo de cenário catastrófico, no fim acabei deixando o Gmail como backup
      Felizmente, na UE ainda se dá bastante importância à verificação do proprietário real, então mesmo com um erro desses há boa chance de resolver em poucas horas
    • O efeito em cadeia é maior do que dá para imaginar
      Se tudo está preso àquele e-mail, isso fica pior do que perder o celular ou o SIM, e é parecido com estar fora do país sem poder usar o número, só que pior
    • Isso é realmente central, e eu nem tinha pensado nisso
    • Se isso tivesse sido um roubo direcionado, a chance de fraude seria enorme
      Como e-mail e vários contatos usam o mesmo domínio, alguém se passando por você poderia continuar respondendo às mensagens como se nada tivesse acontecido
      Mais assustador ainda: se a GoDaddy entregasse algo como npmjs.com desse jeito, dá até para pensar que alguém viraria crypto billionaire da noite para o dia

  • Acho melhor registrar o domínio como marca
    Custa algumas centenas de dólares, dá para fazer online, e aí seus direitos ficam muito mais fortes perante a ICANN, sequestradores de domínio, typosquatters, registradores e até em tribunal
    Você também pode mandar uma notificação pesada em nome de advogado e pular a camada de suporte, escalando rápido para o jurídico
    ANIMATS®

    • Que estrutura péssima
      Você tem que pagar mais para ter mais capacidade de defesa da propriedade
    • Eu opero um registrador de domínios
      Minha opinião pessoal é que é melhor não trazer marca registrada para esse tipo de disputa
      No momento em que você levanta uma alegação de marca, o domínio é bloqueado para evitar alterações, e em geral você será orientado a abrir um UDRP
      Pode levar meses até sair uma decisão
      Notificação de advogado é parecida: salvo em casos bem específicos, não temos obrigação de gastar recursos com resposta jurídica
      Mas no momento em que você exige algum tratamento com base em direito legal, no fim só nos resta responder para buscar o tribunal competente ou o procedimento formal
    • Fico curioso para saber onde é possível fazer registro de marca online
      No Canadá, na prática é preciso usar advogado, e depois da pandemia o acúmulo ficou tão grande que às vezes levava 4 anos para concluir o registro
      Se desse para fazer isso online com facilidade, seria ótimo
    • Às vezes, mesmo com marca ela não ajuda muito
      No meu caso, eu tinha marca registrada nos EUA e anterioridade, e mesmo assim o Facebook derrubou meu site

  • Eu não entendia por que alguém usava GoDaddy nem 10 anos atrás, e continuo sem entender hoje

    • Ainda assim, é o maior registrar do mundo, e com folga
      Do ponto de vista de negócios, escolher o fornecedor mais conhecido costuma funcionar razoavelmente bem, e se espera que existam processos para lidar com várias situações
      Por isso este caso parece ainda mais grave
      Domínio é algo extremamente importante para o negócio, mas ao mesmo tempo é um setor estranho em que a receita por cliente quase não existe
      Toda a infraestrutura depende disso, mas custa algo como US$ 15 por ano, e basta um único chamado de suporte para esse cliente já deixar de ser rentável
    • Hoje em dia, a maioria dos compradores de domínio é de usuários não técnicos, e na verdade isso já faz tempo
      Se você perguntar a 100 pessoas onde comprar um domínio, é bem provável que GoDaddy fique disparado em primeiro
      A maioria provavelmente nem sabe das polêmicas de marca ou dos incidentes de segurança
    • Sim
      Dei até uma risada ao ver a expressão profissional de TI competente
      Quase nunca ouvi nada de bom sobre a GoDaddy
    • Mais empresas grandes do que se imagina usam GoDaddy
      E o suporte de managed hosting surpreendentemente é até bem decente
      Não gosto do serviço em si, mas alguns clientes meus usam, e sempre que havia problema no servidor o suporte resolvia rápido, o que era muito mais prático do que eu mesmo correr atrás
      Pelo menos até agora, o suporte era local e não terceirizado no exterior
    • O registro de domínio normalmente acontece no início do negócio, e pode até ser a primeira ação concreta do fundador
      Se for um fundador não técnico, ele simplesmente pesquisa buy a domain no Google e vai no primeiro resultado
      Depois, quando a estrutura de TI amadurece, deveria migrar para um fornecedor melhor, mas o registro costuma ser por vários anos com renovação automática, e se tudo funciona sem problemas a urgência do dia a dia acaba vencendo o risco teórico

  • Sinceramente, competência e deixar o domínio do cliente na GoDaddy não parecem combinar muito

    • Muita gente acaba prendendo DNS e serviços adicionais ao mesmo registrador
      É um erro, mas um padrão extremamente comum
      Quando já está tudo funcionando, não é fácil convencer um cliente que nunca teve problema a migrar DNS, hospedagem e e-mail também
    • Parece meio sarcástico, mas em algum momento era uma opção barata, e a pessoa pode simplesmente ter continuado com isso
      Depois que o Google Domains acabou, eu passei a usar bastante o Squarespace, porque o preço é aceitável e, acima de tudo, já está funcionando
      Pode até existir ferramenta melhor, mas migração consome tempo, traz risco de interrupção para o cliente e gera estresse
      Não é que eu não saiba subir uma VPS; é que há pouco motivo para gastar essas horas sem receber por isso
      Aqui pode ter acontecido algo parecido, e mesmo que o Lee seja muito competente, um foot gun antigo que parecia inofensivo pode simplesmente ter disparado tarde demais
      Não é o ideal, mas acontece bastante no mundo real, e pelo menos isso deixou ainda mais claro quais fornecedores eu vou evitar daqui para frente
    • Mesmo olhando todas as alternativas recomendadas aqui, ninguém pode garantir que nos próximos 5 anos aquela empresa não vá passar por enshittification, ser vendida para algum PE predatório, trocar o suporte por IA ou cortar 40% da equipe
      27 anos é tempo demais
      Um profissional de TI competente pode preparar planos de contingência para falhas previsíveis, mas não consegue controlar erros em nível de registrador
      Até empresas como a MarkMonitor, que se vendem como bulletproof domains, já cometeram falhas enormes
      E é fácil dizer para registrar um domínio novo no X; bem mais difícil é convencer a tirar um domínio antigo do Y
    • Então onde seria melhor deixar o domínio?
    • Não entendo por que dizem que isso não combina
      A GoDaddy é, afinal, um registrador oficial, e o cliente tinha até MFA duplo ativado
      O cliente fez tudo o que podia fazer
      Já ouvi falar da GoDaddy cometendo erros estranhos, mas um nível tão absurdo de transferência equivocada é a primeira vez que vejo
      Culpar a vítima aqui não é muito diferente de dizer que, se a pessoa não trancou a porta, então a culpa por ser roubada é dela
      Quem quebrou as regras foi a GoDaddy, e o cliente paga esperando que essas regras sejam seguidas
      Quando a conversa começa a cair para culpabilização da vítima, em geral é sinal de que se está do lado errado

  • A própria transferência do domínio errado já é incompetência, e se isso foi feito sem um único documento necessário, então é negligência clara
    É grave em vários níveis

    • Foi ainda pior o fato de, quando o dono original abriu um ticket, eles não reconhecerem o erro nem corrigirem imediatamente
    • Dá arrepios pensar nas consequências em cascata que uma transferência dessas pode causar

  • Por isso eu prefiro registradores responsáveis, mesmo que não sejam enormes, como a porkbun
    Ainda mais depois de já ter perdido domínio em registrador estilo “cheap name” no passado
    É só experiência pessoal, não tenho relação com nenhuma das duas empresas citadas

  • A GoDaddy já provou há muito tempo que é uma empresa podre
    Se o cliente não pagava na hora certa, eles seguravam o domínio e depois o colocavam de novo em leilão com um ágio absurdo, e esse é só um entre vários comportamentos nocivos
    Meu domínio principal ainda está em nic.ddn.mil / rs.internic.net, ou seja, no que hoje é a linhagem da Network Solutions
    Antigamente havia pelo menos uma ética de reservar um domínio por site físico para as gerações futuras, mas quando uma farmacêutica quis comprar uns 90 de uma vez, essa ética desapareceu na hora
    Mesmo assim, até aquele processo antigo que não conseguiu melhorar em décadas depois de virar fonte de receita ainda me parece mais confiável que a GoDaddy
    Entre quem entende do assunto, a GoDaddy já era piada conhecida há muito tempo