GoDaddy a transféré un domaine à un inconnu sans aucun document

 (anchor.host)
4 points par GN⁺ 3 일 전 | 2 commentaires | Partager sur WhatsApp
  • Un domaine exploité depuis 27 ans a été déplacé vers un autre compte GoDaddy sans avertissement préalable, interrompant pendant 4 jours le site web et les e-mails qui y étaient liés
  • Le compte avait une double authentification à deux facteurs activée et la protection du domaine était en place, mais le journal d’audit indiquait qu’un Internal User avait exécuté Transfer to Another GoDaddy Account, et que la validation était restée non effectuée
  • Dans le traitement du litige, GoDaddy a renvoyé à plusieurs reprises vers différentes adresses e-mail et créé de nouveaux numéros de dossier ; au bout de 4 jours, l’entreprise a clos l’affaire en affirmant que les documents nécessaires avaient été fournis, sans préciser lesquels
  • La restauration effective n’a pas été obtenue par l’équipe GoDaddy, mais parce que la personne ayant reçu le domaine par erreur a découvert dans son compte un domaine qui ne lui appartenait pas et a coopéré directement ; grâce à un transfert entre comptes, le domaine est revenu sur le compte d’origine en moins de 5 minutes
  • Le fait qu’un tel transfert ait été approuvé sans soumission de documents met en lumière un risque de sécurité permettant potentiellement l’interception d’e-mails, la réinitialisation de mots de passe et le changement de parcours de paiement, ce qui alimente la crainte qu’il soit difficile d’empêcher ce type de menace à l’avenir

Vue d’ensemble de l’incident

  • Un domaine utilisé depuis 27 ans a été déplacé depuis un compte GoDaddy vers un autre compte GoDaddy sans avertissement préalable, interrompant pendant 4 jours le site web et les e-mails de l’organisation concernée
    • Le compte avait une double authentification à deux facteurs activée, et le domaine bénéficiait de l’option Full Domain Privacy and Protection de GoDaddy
    • Le journal d’audit enregistrait Transfer to Another GoDaddy Account, avec Internal User comme exécutant et Change Validated: No
  • Juste après le transfert, GoDaddy a réinitialisé la zone DNS aux valeurs par défaut ; les nameservers sont restés identiques, mais le fichier de zone était vide, mettant l’ensemble des services hors ligne
    • Ce domaine était le domaine principal utilisé par 20 antennes à travers les États-Unis, et les sites ainsi que les e-mails de chacune dépendaient de ses sous-domaines
  • L’e-mail demandant la récupération du compte est arrivé le samedi à 13:39, et le traitement a été marqué comme démarré 3 minutes plus tard, puis terminé 4 minutes après cela
  • La partie victime a passé 32 appels, cumulé 9,6 heures au téléphone et envoyé 17 e-mails, mais aucun rappel n’est jamais arrivé

Réponse de GoDaddy et gestion du litige

  • Lors du premier contact, GoDaddy a confirmé que le domaine n’était plus dans le compte, mais a refusé d’indiquer vers où il avait été déplacé, au nom de la confidentialité
  • À chaque prise de contact, un nouveau numéro de dossier était créé, sans reprise de l’historique précédent, obligeant à recommencer toutes les escalades depuis le début
    • Le texte mentionne des numéros de dossier réels comme 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012
  • Le litige sur le domaine a été déposé via cas.godaddy.com/Form/TransferDispute, et le demandeur a fourni le nom du titulaire du domaine, un permis de conduire et des documents d’entreprise
    • À chaque soumission, le délai de réponse annoncé restait 48 à 72 heures
  • Quatre jours plus tard, GoDaddy a seulement envoyé un e-mail indiquant que « le titulaire avait fourni les documents nécessaires », que le changement de compte avait donc été effectué, et que l’affaire était close
    • Aucune explication n’a jamais été donnée sur les documents effectivement fournis
    • En suivi, seuls des liens vers une recherche WHOIS, un fournisseur de médiation ICANN et une page sur le recours à un avocat ont été transmis

Interruption d’activité et restauration temporaire

  • Après que GoDaddy a notifié la clôture du dossier, l’organisation touchée a commencé une migration d’urgence vers un nouveau domaine
    • Le basculement vers de nouvelles adresses e-mail et un nouveau site web a été effectué dans la nuit
  • Comme elle ne contrôlait plus l’ancien domaine, les dommages touchaient l’ensemble des adresses e-mail, les supports marketing et l’historique SEO accumulé
    • Les e-mails envoyés vers les anciennes adresses ne pouvaient qu’être rejetés
    • Tous les documents imprimés et ressources externes contenant l’ancien domaine étaient devenus erronés
  • Une fois le domaine d’origine récupéré, il a fallu rebasculeur les e-mails et le site web vers le domaine initial pour annuler le travail effectué la veille

Cause réelle et chemin de restauration

  • Le lendemain matin, une autre personne, située à 2 000 miles du siège de l’organisation victime, a découvert un domaine inattendu dans son propre compte GoDaddy
    • Cette personne essayait de récupérer un autre domaine utilisé par un ancien employé
  • En coopérant avec elle pour exécuter le transfert entre comptes de GoDaddy, le domaine est revenu sur le compte d’origine en moins de 5 minutes, et le DNS a immédiatement commencé à se rétablir
  • La résolution réelle n’est pas venue de l’équipe support GoDaddy, de l’équipe litiges ni du bureau du CEO, mais de la personne qui avait reçu le domaine par erreur, après qu’elle a identifié le problème et pris contact directement

Un transfert approuvé sans documents

  • La personne ayant reçu le domaine par erreur appartenait à une antenne locale du même réseau et avait demandé à GoDaddy, deux semaines plus tôt, la récupération d’un autre domaine
    • Le domaine demandé était HELPNETWORKLOCAL.ORG, mais celui qui a réellement été transféré était HELPNETWORKINC.ORG
  • La signature e-mail de cette personne contenait le site web en sous-domaine de HELPNETWORKINC.ORG, et il semble que l’équipe de récupération de GoDaddy ait vu dans cette signature le domaine parent et l’ait déplacé dans ce compte
  • GoDaddy a bien envoyé un lien pour téléverser des justificatifs, mais ce lien a expiré avant utilisation
    • Même après avoir demandé un nouveau lien, l’e-mail d’approbation du transfert du domaine est arrivé avant le nouveau lien
  • En conséquence, cette personne n’a soumis aucun document, ni pour le domaine qu’elle cherchait initialement à récupérer, ni pour celui qu’elle a effectivement reçu
    • Malgré cela, GoDaddy a déplacé vers un autre compte le domaine d’une organisation à but non lucratif vieille de 27 ans, puis a ensuite clos le litige

Impact sécurité

  • Le texte explique que, si le destinataire avait été malveillant, il aurait pu procéder à l’interception d’e-mails, à des réinitialisations de mots de passe, à la réception de codes MFA, au phishing, à la diffusion de malware et jusqu’au changement des parcours de paiement
  • Tant que l’organisation victime ignorait où se trouvait le domaine, elle devait se préparer à demander à tous les utilisateurs de retirer le domaine compromis des comptes de services critiques
    • Cela concernait notamment les banques, Amazon, l’IRS, le système de paie, Dropbox, les comptes e-mail et même le compte GoDaddy lui-même
  • Le simple fait qu’un tel transfert ait été approuvé sans documents apparaît en soi comme un problème de sécurité majeur

Problèmes du canal de signalement sécurité et suites attendues

  • Avant publication, les conclusions de l’enquête ont été envoyées directement à l’équipe sécurité de GoDaddy via security@godaddy.com, mais le message a été rejeté
    • La réponse automatique indiquait que cette boîte n’était plus surveillée et renvoyait à la place vers le Abuse Reporting Form et https://hackerone.com/godaddy-vdp
  • Le même rapport a finalement été soumis via HackerOne, et le texte mentionne report #3696718
  • Le fait que les canaux officiels ne fonctionnent pas et que seules les personnes connaissant des voies détournées puissent joindre les bons interlocuteurs reproduit le même schéma que pendant cette panne de 4 jours
  • D’après la source, les actions de suivi demandées sont claires
    • Flagstream Technologies doit être contactée directement par une personne nommément identifiée
    • Il faut laisser une adresse e-mail permettant une réponse et un numéro de téléphone, et non un compte e-mail générique
    • Une revue interne doit être menée sur la procédure de validation des transferts et sur la manière dont une approbation sans documents a été possible

Orientation restante de la réponse

  • La préoccupation la plus importante de la partie victime est qu’en continuant à héberger ses domaines chez GoDaddy, aucun moyen clair ne semble exister pour empêcher à l’avenir le même type de menace
  • Le texte indique que Flagstream a de fortes chances de transférer l’ensemble de ses domaines en dehors de GoDaddy
  • Si vous avez des domaines chez GoDaddy, il faut vérifier par vous-même comment vous réagiriez si le domaine disparaissait du compte et que l’ensemble de votre activité s’arrêtait

À lire aussi

2 commentaires

 
ndrgrd 2 일 전

Chaque fois que je vois ce genre de chose, je me demande s’il serait si difficile de concevoir des systèmes de manière à rendre les contournements ou les échecs impossibles, autant que possible, sans avoir à lire toute une documentation.
 
GN⁺ 3 일 전
Avis sur Hacker News

  • La réputation de GoDaddy est tellement mauvaise qu’il existe même un article Wikipédia dédié
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • Le passif de GoDaddy est si mauvais qu’il suffit de rassembler quelques anciens cas pour avoir le contexte
    Jan 2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Jan 2019: GoDaddy injecting JavaScript into websites and how to stop it
    Aug 2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Dec 2022: GoDaddy buying domains when they expire to extort their own users
    Jul 2023: Godaddy just stole my domain
    Jan 2024: Tell HN: GoDaddy Stole My Domain

    • En 2011, l’entreprise avait même soutenu SOPA, et n’a jamais fini par retirer ce soutien
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      Ça a toujours donné l’impression d’une boîte plus portée sur la frime que sur la technique, avec des équipes techniques qui avaient juste l’air de toucher leur salaire sans grand intérêt pour les clients ni pour la qualité, et leurs actes ont exactement confirmé cette image
    • Sa réputation est tellement mauvaise qu’il y a même un article Wikipédia séparé, mais ni là-bas ni dans ta liste on ne parle du blocage au niveau d’un pays entier
    • GoDaddy a carrément pratiqué le blocage de pays entiers, et je me souviens qu’à une époque ce blocage s’appliquait non seulement à son propre site web mais aussi à son service DNS pour les clients
      Dans ce cas, depuis certains pays, les clients ne pouvaient même plus accéder à leur propre site
      C’est cher et la valeur est tellement faible que je ne vois pas pourquoi quelqu’un l’utilise
    • Le premier lien de 2017 sur les certificats SSL est incorrect, le bon lien est https://news.ycombinator.com/item?id=13377214
      Le lien actuel pointe vers ce fil lui-même
    • Il suffit déjà de chercher les discussions sur GoDaddy dans le vieux Slashdot
      Depuis l’époque où j’ai eu mon premier ordinateur, GoDaddy avait déjà la réputation d’être NoDaddy
      Au début-milieu des années 2000, l’un des rares cas où j’ai vu des programmeurs parler ouvertement de misogynie concernait justement un stand GoDaddy dans une convention, et je m’en souviens encore

  • Au début, ça ressemble à un coup interne
    J’ai déjà eu un compte compromis chez AWS alors que toute la sécurité était en place, et on a découvert plus tard que la cause venait de sous-traitants internes
    Jusque-là, AWS m’accusait sans preuve, et ce n’est qu’après avoir contacté le bureau du procureur général de l’État qu’une enquête a commencé et qu’un manager a enfin pris le dossier au sérieux

    • Si on lit la fin de l’article, l’explication est donnée
      Un autre client GoDaddy avait demandé un transfert pour un domaine au nom très similaire, et ils ont transféré le mauvais domaine au passage
    • Ça ressemble moins à un acte malveillant d’un initié qu’à un traitement interne incompétent
      L’employé n’a suivi aucune procédure et a lu l’e-mail de manière absurdement erronée, au point de transférer le mauvais domaine
    • Cette interprétation ne tient pas debout
      Si ça a pu être corrigé, c’est justement parce que la personne qui a reçu le domaine a signalé directement au support GoDaddy qu’il avait été transféré par erreur
      Je ne vois pas comment on peut appeler ça une manœuvre interne
    • Si on lit correctement l’article, le domaine a été transféré à quelqu’un d’un chapitre local de la même organisation, cette personne a compris ce qui se passait puis a contacté le propriétaire initial pour régler le problème
      Dans aucun sens ça ne ressemble à un inside job
    • Pourquoi un initié irait-il mettre le mauvais domaine dans le compte d’un inconnu sans même avoir l’intention de l’utiliser
      Le destinataire a en plus essayé de le rendre au propriétaire d’origine, donc l’explication d’un vol intentionnel tient mal

  • L’article insistait sur toutes les adresses e-mail invalides, tous les supports marketing erronés et la perte de SEO, mais je pense qu’il manque quelque chose de plus grave
    Perdre son domaine peut immédiatement entraîner le verrouillage de tous les comptes en ligne qui envoient des codes de vérification de connexion suspecte par e-mail
    Banque, CRM, services métier en tout genre, tout peut se bloquer en cascade

    • Oui, la 2FA par e-mail est déjà risquée à la base, et avec l’incompétence du registrar par-dessus, c’est encore plus inquiétant
    • Il y a quelques années, l’idée de tout rattacher à une adresse e-mail de domaine semblait la meilleure
      Tant que je possédais le domaine, je pouvais l’héberger où je voulais, donc ça paraissait idéal
      Mais quand on pense à ce type de scénario catastrophe, on finit par se dire qu’il faut quand même garder Gmail en secours
      Heureusement, dans l’UE, on attache encore assez d’importance à la vérification du véritable propriétaire, donc même avec ce genre d’erreur, il y a de bonnes chances que ce soit résolu en quelques heures
    • L’effet domino est difficile à imaginer tellement il est énorme
      Si tout est lié à cette adresse e-mail, c’est pire que de perdre son téléphone ou sa SIM, et comparable à l’impossibilité d’utiliser son numéro à l’étranger, en encore pire
    • C’est vraiment le point central auquel je n’avais pas pensé
    • Si ça avait été un détournement ciblé, les possibilités d’arnaque auraient été énormes
      Comme l’e-mail et toutes sortes de contacts passent par le même domaine, un usurpateur pourrait continuer les échanges comme si de rien n’était
      Ce qui fait encore plus peur, c’est de se dire que si GoDaddy remettait simplement quelque chose comme npmjs.com à quelqu’un, on pourrait devenir crypto billionaire du jour au lendemain

  • À mon avis, il vaut mieux déposer la marque du domaine
    Ça coûte quelques centaines de dollars, ça peut se faire en ligne, et ensuite vos droits sont bien plus solides face à l’ICANN, à un voleur de domaine, à un typosquatteur, à un registrar ou devant un tribunal
    On peut envoyer une mise en demeure musclée au nom d’un avocat et passer plus vite au niveau juridique sans rester bloqué au support
    ANIMATS®

    • Quel système lamentable
      En gros, il faut payer plus cher pour mieux défendre sa propriété
    • Je gère un registrar de domaines
      À titre personnel, je pense qu’il vaut mieux ne pas faire entrer les marques dans ce type de litige
      À partir du moment où vous invoquez un droit de marque, le domaine est bloqué pour empêcher toute modification, et on vous dira généralement de déposer une UDRP
      Obtenir une décision peut prendre plusieurs mois
      Les lettres d’avocat, c’est similaire : sauf dans des cas très limités, nous n’avons aucune obligation de dépenser de l’argent en réponse juridique
      Mais dès qu’on exige un traitement précis au nom de droits légaux, on ne peut plus vraiment répondre autre chose que de passer par le tribunal compétent ou une procédure formelle
    • Je me demande dans quel pays on peut faire un dépôt de marque en ligne
      Au Canada, il faut en pratique passer par un avocat, et quand l’arriéré post-Covid était au pire, on pouvait attendre jusqu’à 4 ans avant l’enregistrement
      Ce serait vraiment bien si on pouvait l’enregistrer simplement en ligne
    • Parfois, même une marque ne vaut pas grand-chose
      Dans mon cas, j’avais une marque déposée aux États-Unis, antérieure en plus, et Facebook a quand même fermé mon site

  • Je ne comprenais pas il y a 10 ans, et je ne comprends toujours pas aujourd’hui, pourquoi des gens utilisent GoDaddy

    • Pourtant, c’est toujours le plus grand registrar au monde, et de loin
      Côté business, choisir le fournisseur le plus connu est souvent une stratégie qui marche plutôt bien, et on s’attend à ce qu’il ait des processus pour gérer tous les cas de figure
      C’est pour ça que cette affaire paraît encore plus grave
      Les domaines sont extrêmement critiques pour une entreprise, mais c’est aussi un secteur étrange où le revenu par client est presque nul
      Toute l’infrastructure repose dessus, mais ça vaut à peine 15 dollars par an, et au moindre ticket de support, le client devient probablement non rentable
    • Aujourd’hui, la plupart des acheteurs de domaines sont des utilisateurs non techniques, et ça fait longtemps que c’est le cas
      Si on demande à 100 personnes où acheter un domaine, il y a de grandes chances que GoDaddy arrive très largement en tête
      La plupart ne savent probablement rien des scandales de marque ou des incidents de sécurité
    • Oui
      L’expression responsable IT compétent m’a un peu fait rire
      Je n’ai quasiment jamais entendu quelque chose de positif sur GoDaddy
    • Beaucoup plus d’entreprises qu’on ne le pense utilisent GoDaddy
      Et leur support en managed hosting est, de manière surprenante, plutôt correct
      Je n’aime pas particulièrement leur service, mais quelques clients l’utilisent, et à chaque problème serveur le support a corrigé la situation rapidement, ce qui était bien plus simple que de m’en occuper moi-même
      Au moins jusqu’ici, ce n’était pas du support externalisé à l’étranger mais du support local
    • L’enregistrement d’un domaine se fait souvent au tout début d’une entreprise, parfois comme tout premier acte concret du fondateur
      Si le fondateur n’est pas technique, il tape juste buy a domain dans Google et va chez le premier résultat
      Plus tard, quand l’organisation IT mûrit, il faudrait migrer vers un meilleur prestataire, mais les enregistrements courent sur plusieurs années, avec renouvellement automatique, et tant que tout fonctionne sans incident, les urgences du moment passent avant les risques théoriques

  • Honnêtement, la compétence et le fait de laisser les domaines d’un client chez GoDaddy vont mal ensemble

    • Beaucoup de gens finissent par tout regrouper chez un seul registrar, y compris le DNS et les services annexes
      C’est une erreur, mais c’est un schéma très courant
      Quand tout marche déjà bien, ce n’est pas facile de convaincre un client qui n’a jamais eu de problème de migrer aussi le DNS, l’hébergement et l’e-mail
    • Ça sonne peut-être un peu sarcastique, mais à une époque c’était une option bon marché, et certains l’ont peut-être simplement gardée
      Depuis le rachat de Google Domains, j’utilise beaucoup Squarespace, parce que le prix est correct et surtout parce que ça tourne déjà
      Il existe peut-être de meilleurs outils, mais une migration demande du temps, comporte un risque d’interruption client et crée du stress
      Ce n’est pas qu’on ne sait pas lancer un VPS, c’est juste qu’il est difficile de justifier plusieurs heures non facturées
      Ça a peut-être été la même chose ici, et même si Lee est très compétent, on a peut-être simplement eu une foot gun ancienne qui a fini par exploser tardivement
      Ce n’est pas idéal, mais c’est tout à fait réaliste, et au moins cette affaire m’indique encore plus clairement quels prestataires je vais éviter à l’avenir
    • Même si on prend toutes les alternatives recommandées ici, personne ne peut garantir que dans les 5 prochaines années elles ne tomberont pas dans l’enshittification, ne seront pas vendues à un fonds de private equity prédateur, ne remplaceront pas leur support par de l’IA ou ne réduiront pas leurs effectifs de 40 %
      27 ans, c’est très long
      Un responsable IT compétent peut prévoir des plans de secours pour les pannes prévisibles, mais il ne peut pas contrôler une erreur au niveau du registrar
      Même des sociétés comme MarkMonitor, qui se vendent comme bulletproof domains, ont déjà eu de gros incidents
      Et autant il est facile de dire d’enregistrer un nouveau domaine chez X, autant il est bien plus difficile de convaincre de sortir un ancien domaine de Y
    • Du coup, où vaut-il mieux mettre ses domaines
    • Je ne vois pas pourquoi ça irait mal ensemble
      GoDaddy est bien un registrar accrédité, et le client avait activé une double MFA
      Le client a fait tout ce qu’il pouvait
      J’avais déjà entendu parler d’erreurs étranges chez GoDaddy, mais jamais d’un transfert absurde à ce niveau
      Dans une telle situation, accuser la victime revient à dire que si on ne ferme pas sa porte à clé, le vol est de sa faute
      C’est GoDaddy qui a enfreint les règles, et le client paie justement pour pouvoir compter sur leur respect
      Quand on penche vers le blâme de la victime, on se retrouve en général du mauvais côté

  • Le mauvais transfert de domaine est déjà une preuve d’incompétence, et le fait d’avoir traité ça sans le moindre document requis relève clairement de la négligence
    C’est grave à plusieurs niveaux

    • Le fait de ne pas avoir reconnu l’erreur ou corrigé immédiatement la situation quand le propriétaire d’origine a ouvert un ticket était encore pire
    • Quand on pense aux conséquences en cascade qu’un tel transfert peut provoquer, c’est vraiment glaçant

  • C’est pour ça que je préfère des registrars responsables, même s’ils ne sont pas énormes, comme porkbun
    D’autant plus depuis que j’ai perdu un domaine par le passé chez un registrar de type “cheap name”
    Ce n’est qu’une expérience personnelle, et je n’ai aucun lien d’intérêt avec les deux sociétés citées

  • GoDaddy a déjà prouvé depuis longtemps qu’il s’agissait d’une entreprise corrompue
    Si un client ne payait pas à temps, ils récupéraient le domaine puis le remettaient aux enchères avec une marge scandaleuse, et ce n’est qu’un exemple parmi beaucoup d’autres
    Mon domaine principal est toujours chez nic.ddn.mil / rs.internic.net, c’est-à-dire dans ce qui relève aujourd’hui de Network Solutions
    À l’époque, il existait au moins une éthique qui consistait à n’attribuer qu’un seul domaine par site physique pour les générations futures, puis une entreprise pharmaceutique a voulu en acheter environ 90 d’un coup et cette éthique a disparu immédiatement
    Malgré tout, même ce vieux processus poussiéreux qui n’a pas su s’améliorer pendant des décennies après être devenu une source de revenus m’inspire plus confiance que GoDaddy
    Pour les gens du milieu, GoDaddy est depuis très longtemps une blague connue de tous