메뉴
HN
Hacker News 34일 전

소유권 증명 없이 도메인을 타인에게 넘긴 고대디

IMP
8/10
핵심 요약

미국의 한 IT 기업이 27년 동안 사용하던 도메인을 고대디(GoDaddy)가 일방적으로 타인에게 이전하는 사고가 발생했습니다. 이중 인증과 도메인 보안 서비스가 모두 설정되어 있었음에도 불구하고, 고대디 내부 직원에 의해 단 4분 만에 도메인 탈취가 이루졌고 4일간 아무런 조치도 취해지지 않았습니다. 이 사건은 도메인 등록 대행 업체의 내부 통제 및 보안 시스템이 얼마나 취약할 수 있는지 보여주는 핵심적인 사례입니다.

번역된 본문

만약 귀하의 조직이 도메인 이름을 27년 동안 사용해 왔는데, 이를 관리하던 등록업체가 사전 경고 없이 도메인을 압류한다면 어떻게 하시겠습니까? 모든 이메일과 웹사이트가 마비되었습니다. 해당 기업의 기술 지원팀은 4일 동안 "그냥 기다리세요, 현재 처리 중입니다"라고만 말했습니다. 그리고 4일 차에 기업 측에 누군가가 그 도메인을 가지고 있으며 더 이상 귀하의 것이 아니라고 통보했습니다. 계속 읽어보세요. 이 황당한 이야기는 지난주에 정확히 일어났습니다. 필자의 친구인 리 랜디스(Lee Landis)는 펜실베이니아주 랭커스터에 있는 로컬 IT 기업인 Flagstream Technologies의 파트너입니다. 지난주 토요일 오후, 그의 고객 도메인 중 하나가 고대디(GoDaddy) 계정에서 사라졌습니다. 리는 제가 아는 가장 유능한 IT 전문가 중 한 명입니다. 그의 고대디 계정은 이중 인증(dual two-factor authentication)이 활성화되어 있어 로그인 시 이메일 코드와 인증 앱 코드를 모두 입력해야 했습니다. 도메인 자체에도 소유권 보호 기능이 켜져 있었습니다. 감사 로그에는 "유효성 검사 변경: 아니요(Change Validated: No)" 상태로 "내부 사용자(Internal User)"가 "다른 고대디 계정으로 이전"했다고만 기록되어 있었습니다. (일부 이름이 변경되었습니다: 익명을 원하는 사람들의 요청으로 일부 이름과 도메인 자체가 변경되었습니다. 도메인 이름의 패턴은 실제 실수를 반영하므로 설명은 여전히 타당합니다. 이 글의 모든 사실은 진실입니다. 리는 이 모든 것에 대한 확실한 증거를 가지고 있습니다.) 앞서 보셨듯이, 고대디는 오후 1시 39분에 계정 복구가 요청되었다는 이메일을 Flagstream에 보냈습니다. 3분 후 이전이 시작되었습니다. 4분 후 이전이 완료되었습니다. 바로 토요일 오후에 말입니다. 고대디가 도메인을 새 계정으로 옮기면서 DNS 영역(DNS zone)을 기본값으로 재설정했기 때문에 영향을 받은 조직의 모든 시스템이 오프라인으로 전환되었습니다. 네임서버는 그대로였지만 DNS 영역 파일은 비어 있었습니다. 리의 고객은 4일 동안 웹사이트와 이메일을 사용할 수 없었습니다.

  • 27년간 실제 사용 중인 도메인
  • 고대디에 건 통화 32건
  • 고대디와 통화한 시간 총 9.6시간
  • 고대디에 보낸 이메일 17건
  • 받은 콜백(답변): 0건

도메인과 계정은 완벽하게 보호되어 있었습니다. 도메인에는 고대디가 판매하는 '전체 도메인 개인정보 보호 및 보호(Full Domain Privacy and Protection)' 보안 제품이 적용되어 있었습니다. 계정에는 이중 2단계 인증이 걸려 있었습니다. 하지만 이 모든 게 아무 소용이 없었습니다. 이전은 고대디 내부의 '내부 사용자'에 의해 이루어졌습니다. 해당 도메인은 HELPNETWORKINC.ORG였습니다. (해당 조직이 익명을 원했기 때문에 실제 도메인 이름은 변경되었습니다.) 이 도메인은 미국 전역에 20개의 지부를 둔 전국 규모 조직의 것입니다. 이 도메인은 27년 동안 활발하게 사용되었습니다. 각 지부는 하나의 상위 도메인 하위에 있는 하위 도메인에서 자체 웹사이트와 이메일을 운영했습니다. HELPNETWORKINC.ORG가 마비되자 모든 지부도 함께 마비되었습니다. 32통의 전화. 9.6시간의 통화. 콜백은 0건. 리는 일요일에 고대디에 전화했습니다. 상담원은 도메인이 더 이상 그의 계정에 없다는 것을 확인했지만 개인정보 보호 문제를 이유로 어디로 갔는지 말해줄 수 없었습니다. 그들은 undo@godaddy.com으로 이메일을 보내라고 했습니다. 리는 그렇게 했지만 해당 주소로 이메일을 보낸 후 어떠한 형태의 응답도 받지 못했습니다. 물론 리는 이것이 이 문제에 대한 적절한 긴급 대응 수준이라고 생각하지 않았습니다. 그는 관리자와 연결해 달라고 요청했지만, 관리자는 훨씬 더 도움이 되지 않았습니다. 리는 불만을 품었습니다. 그는 이 통화에서 고대디의 지원 인력에게 몇 가지 상처를 줄 수 있는 말을 했을지도 모릅니다. 첫 번째 통화는 2시간 33분 14초 동안 지속되었습니다. 월요일 아침, 고대디로부터 여전히 아무런 업데이트가 없자 리와 동료는 본격적으로 이 문제를 해결하기 시작했습니다. 전화를 걸어 상담원을 바꾸었고, 새 상담원은 대신 transferdisputes@godaddy.com으로 이메일을 보내라고 리에게 말했습니다. 화요일이 되자 이메일 주소가 다시 artreview@godaddy.com으로 바뀌었습니다. 안내 지침은 매일 바뀌었습니다. 고대디의 모든 기술 지원 담당자마다 약간씩 다른 권장 사항을 제시하는 것 같았습니다. 한 가지 일관되게 유지된 메시지는 "그냥 하루 이틀만 기다리세요. 우리가 처리하고 있습니다. 왜 이게 그렇게 긴급하다고 생각하십니까?"였습니다. 이 과정에서 가장 좌절스러웠던 부분 중 하나는 이 문제와 관련하여 고대디와 주고받은 모든 공식 커뮤니케이션이 일반적인 이름의 이메일 계정을 통해 이루어졌다는 것입니다. 이 문제를 관리하고 소통하는 데 있어 명확하게 책임을 지는 담당자가 있었어야 했다고 생각합니다.

원문 보기
원문 보기 (영어)
What would you do if your organization had used a domain name for 27 years, and the registrar holding the domain seized it without any advance warning? All email and websites went dark. The company's tech support spent four days telling you to "Just wait, we are working on it." On the fourth day, the company informed you that someone else has the domain now, and it is no longer yours. Read on. This crazy story happened exactly one week ago. My friend Lee Landis is a partner in Flagstream Technologies , a local IT firm in Lancaster, PA. Last Saturday afternoon one of his client's domains vanished from his GoDaddy account. Lee is one of the most competent IT guys I know. The GoDaddy account had dual two-factor authentication enabled, requiring both an email code and an authentication app code to log in. The domain itself had ownership protection turned on. The audit log just said "Transfer to Another GoDaddy Account" by an "Internal User" with "Change Validated: No." Some names have been changed Some names and the domain itself have been changed because people wanted to remain anonymous. The pattern of the domain names mirrors the actual mistake, so the explanation still makes sense. Every fact in this post is true. Lee has hard evidence for every one of them. As you can see above, GoDaddy emailed Flagstream at 1:39pm that an account recovery had been requested. Three minutes later, the transfer was initiated. Four minutes later, it was complete. On a Saturday afternoon. Everything at the impacted organization went offline because GoDaddy reset the DNS zone to default when they moved the domain into the new account. Same nameservers. Empty DNS zone file. Lee's client lost their website and email for the next four days. 27 yrs Domain in active use 32 Calls to GoDaddy 9.6 hrs On the phone with GoDaddy 17 Emails to GoDaddy. Zero callbacks. Domain and account were fully protected. The domain had the “Full Domain Privacy and Protection” security product that GoDaddy sells. Dual two-factor on the account. None of it mattered. The transfer was done by an "Internal User" inside GoDaddy. The domain was HELPNETWORKINC.ORG. The real domain name has been changed because the organization wanted to remain anonymous. It belongs to a national organization with twenty locations across the United States. The domain has been in active use for 27 years. Each chapter runs its website and email on a subdomain of that one parent domain. When HELPNETWORKINC.ORG went dark, every chapter went dark with it. Thirty-two calls. 9.6 hours on the phone. Zero callbacks. Lee called GoDaddy on Sunday. They confirmed the domain was no longer in his account but could not say where it went due to privacy concerns. They told him to email undo@godaddy.com . He did but did not receive any type of response when emailing that address. Of course Lee didn’t really feel like this was the appropriate level of urgency for this issue. He asked for a supervisor who was even less helpful. Lee was not happy. He may have said some hurtful things to GoDaddy’s support personnel during this call. That first call lasted 2 hours, 33 minutes, and 14 seconds. On Monday morning, Lee and a coworker started working in earnest on this issue because there was still no update from GoDaddy. Calling in yielded a different agent who told Lee to email transferdisputes@godaddy.com instead. By Tuesday the address had changed again to artreview@godaddy.com . The instructions shifted by the day. It seemed like every GoDaddy tech support person had a slightly different recommendation. The one thing that stayed consistent was the message: "Just wait a day or two. We are working on it. Why do you think this is so urgent?" One of the most frustrating parts of this process is that all official communication to and from GoDaddy about this issue was done with generically named email accounts. It just seems like there should have been a named individual in charge of managing and communicating about this issue. Rather there were just random generic email accounts that seemed to change on a daily basis. Every call generated a fresh case number. Lee lost count of the total number of cases. A few of the cases are 01368489 . 894760 . 01376819 . 01373017 . 01376804 . 01373134 . 01370012 . None of them tied together on GoDaddy's side. Every escalation started from zero. These are actual case numbers, in case anyone at GoDaddy wants to check into this. I posted on X to see if anyone I knew at GoDaddy could escalate. My friend Courtney Robertson, who works at GoDaddy, reposted it and started escalating internally on her own time. Thank you, Courtney. GoDaddy has a lot of great people like her. That part is not in question. What GoDaddy does not have is a way to actually fix a mistake once one has been made. Tickets pile up. Phone calls reset. Every escalation is a new person reading the case from scratch. The thing you actually need solved drifts between queues. And there was no real way to dispute it. While Lee was on the phone, his colleague was on a different phone trying to file a Transfer Dispute. GoDaddy directed him to cas.godaddy.com/Form/TransferDispute . He filed a dispute and received this message, which he captured via a screenshot. Lee and his colleagues worked diligently at challenging the transfer. They supplied the correct name of the person listed on the domain. They supplied that person's drivers license as required. They also supplied the correct business documentation as listed in GoDaddy's own requirements. Every time they submitted a request, they were told they would hear back in 48 to 72 hours. GoDaddy FINALLY responds with a SHOCKING statement Tuesday afternoon, after four days of waiting, Flagstream finally got an official email response back from GoDaddy. GoDaddy's reply to Lee After investigating the domain name(s) in question, we have determined that the registrant of the domain name(s) provided the necessary documentation to initiate a change of account. … GoDaddy now considers this matter closed. That was it. No explanation of what documentation. The suggested next steps were three links. A WHOIS lookup. ICANN arbitration providers. A page about getting a lawyer involved to represent you in litigation. Flagstream migrates client to new domain Once GoDaddy declared the matter closed, Flagstream began migrating the client to a new domain. New email addresses. New website addresses. Coordinating with various teams throughout the night to change everything over to a new domain. Switching to a new domain is a massive amount of work, and it leaves a lot of lingering problems behind because there is no control over the original domain. Every email address that exists out in the world is now wrong. You have to tell everyone the new address. If they try the old one, it bounces. Every piece of marketing material that references the old domain is now incorrect. There is no way to forward anything to the new domain. All of the SEO is gone. You are starting an online presence from scratch. Then a stranger found the domain in her account. Wednesday morning Susan (not her real name), 2,000 miles away from the client's headquarters, noticed something odd. Susan had been working at reclaiming a totally different domain used by a former employee. When she looked closely at her GoDaddy account, the domain in her account wasn't the one she had requested. She made a few phone calls because she knew this was a problem and eventually got hooked up with Flagstream. Working with Susan, they ran a GoDaddy account-to-account transfer, and put the domain back where it belonged. DNS came back up while Lee was still typing the email telling me it was over. The entire process of reclaiming the domain lasted less than 5 minutes. Once the domain was back and DNS was working, Flagstream started the arduous task of reverting everything that they had done the day before. They switched email and websites back to the original domain, once a
보안 도메인관리 IT인프라 클라우드장애