一家拥有27年历史域名的非营利组织,其域名竟被GoDaddy内部员工在没有任何凭证的情况下,擅自转移给了一位陌生人,导致网站和邮箱服务中断四天。尽管账户设置了双重认证和域名保护,但GoDaddy的支持渠道混乱无效,多次求助均无结果,最后甚至单方面宣布“案件已结”。最终,问题的解决并非来自GoDaddy,而是那位意外收到域名的陌生人主动联系并归还了域名。此事件暴露了GoDaddy在域名转移流程中存在严重的安全漏洞和失职的客户服务。
一场离奇的域名消失事件
一个周六的下午,一家IT公司的技术员Lee Landis发现,他客户的一个使用了27年的域名突然从GoDaddy账户中消失了。这个域名属于一个全国性的非营利组织,它的瘫痪导致旗下所有分支机构的网站和邮件服务全部中断。
- 域名历史: 已被该组织积极使用了 27年。
- 影响范围: 网站和所有员工的邮箱服务 瘫痪了整整四天。
- 账户安全: 账户开启了需要邮箱和App双重验证的 双重认证 (2FA),域名本身也购买了 “完全域名隐私和保护” 服务。
然而,所有这些安全措施都形同虚设。
安全措施失效,内部转移毫无验证
GoDaddy的审计日志显示,这次转移是由一名 “内部用户” 执行的,并且 “变更验证” 状态为 “否”。这意味着,GoDaddy的员工在未进行任何有效验证的情况下,就将域名从一个账户转移到了另一个账户。
GoDaddy在下午1:39分发送了一封账户恢复请求的邮件,三分钟后转移开始,四分钟后转移完成。整个过程在周末的下午迅速发生,没有任何阻止的机会。
混乱且无效的客户支持
在接下来的四天里,Lee和他的团队经历了与GoDaddy支持部门一场令人沮丧的拉锯战。
- 耗费时间长: 总共通话 9.6小时,拨打了 32次 电话。
- 无人跟进: 从未收到任何一次GoDaddy的主动回电。
- 指令混乱: 每天都被告知联系不同的邮箱地址,从
[email protected]到[email protected]再到[email protected]。 - 重复劳动: 每次联系客服,都生成一个新的案件编号,导致每次都需要从头解释问题,沟通毫无进展。
最常听到的一句话是:“请再等一两天,我们正在处理。你为什么觉得这件事这么紧急?”
GoDaddy的“最终”裁决:案件已结
在提交了所有必要的证明文件(包括域名所有人的驾照和公司文件)后,等待了四天的Lee收到了GoDaddy的官方邮件。邮件内容令人震惊。
“在调查了相关域名后,我们确定该域名的注册人提供了必要的文档来发起账户变更……GoDaddy现在认为此事已了结。”
GoDaddy单方面宣布调查结束,并建议他们通过WHOIS查询、ICANN仲裁或聘请律师来解决问题。这意味着,在GoDaddy看来,他们已经失去了这个域名。
意外的转机:陌生人的善意
正当IT团队准备为客户迁移到新域名时,事情出现了转机。一位名叫Susan的女士发现她的GoDaddy账户里多出了一个不属于她的域名。她意识到这很严重,于是开始打电话查询,最终联系上了Lee的团队。
在与Susan的配合下,他们通过GoDaddy账户间的转移功能,在不到5分钟的时间内就将域名转回,所有服务随即恢复正常。
这次问题的解决,并非来自GoDaddy的支持团队、争议处理部门或高层办公室,而是来自一个意外收到域名的陌生人,她足够聪明和诚实,发现了不对劲并采取了行动。
惊人的真相:零文件审批
更令人震惊的是,GoDaddy批准这次转移,根本没有收到任何证明文件。
原来,Susan之前确实联系过GoDaddy,希望找回自己公司的一个旧域名。GoDaddy的员工可能仅仅因为看到她邮件签名中包含了那个非营利组织的父域名,就主观臆断,将错误的域名转移给了她。
- GoDaddy向Susan发送了上传文件的链接,但链接在她使用前就已过期。
- 在她请求新链接但还未收到时,GoDaddy就发邮件通知她转移已获批准。
- Susan从未提交任何一份文件,无论是针对她想找回的域名,还是这个被错误转移的域名。
巨大的安全隐患
如果这个域名落入不法之徒手中,后果不堪设想。他们可以拦截邮件、重置密码、发起网络钓鱼攻击,甚至篡改网站内容以进行诈骗。
这件事暴露了一个可怕的事实:即使你为GoDaddy的域名设置了最高级别的安全防护,一名员工的错误或疏忽就足以让你失去一切,而GoDaddy的官方渠道却无法提供任何有效的补救措施。甚至,当作者试图通过官方安全邮箱 [email protected] 报告此漏洞时,邮件也被系统自动退回。
唯一的出路:离开GoDaddy
对于受影响的IT公司来说,这次经历让他们明白,保护自己资产的唯一方法似乎只剩下离开。
Lee的公司计划将他们管理的所有域名都迁移出GoDaddy。这是他们仅剩的保护措施,似乎也是GoDaddy唯一能听懂的“升级”方式。