(つ`ω´)つ => Ubuntu 台灣社群: GoDaddy 在未取得任何證明文件的情況下，把網域轉給陌生人（★ 174 分）一家位於美國賓州 Lancaster 的 IT 公司 Flagstream Technologies，替客戶管理一個已使用 27 年的主網域。4 月 18 日週六下午，GoDaddy 先寄出帳號恢復申請通知，3 分鐘後就由標示為內部人員的帳號把網域轉到另一個 GoDaddy 帳號，稽核紀錄還寫著「變更未驗證」。即使原帳號已啟用雙重兩步驟驗證 (2FA, two-factor authentication)，網域也購買了 GoDaddy 的完整隱私與保護服務，轉移仍在幾分鐘內完成。由於 GoDaddy 在移轉時把 DNS (網域名稱系統) 區域檔重設為預設值，這個擁有 20 個分支、共用同一主網域的全國性組織，網站與電子郵件立刻全面中斷，持續 4 天。負責處理的 Lee Landis 團隊在 4 天內打了 32 通電話、花了 9.6 小時與客服周旋，另寄出 17 封電子郵件，卻只是不斷被轉介到不同的通用信箱，並被要求再等 48 到 72 小時。他們依照 GoDaddy 要求送交正確的註冊人姓名、駕照與公司文件，最後收到的正式回信卻是：對方已提供必要文件，帳號變更成立，此案結案；若有異議，請自行查詢 WHOIS (公開網域註冊資料)、向 ICANN (Internet Corporation for Assigned Names and Numbers，網際網路名稱與號碼指配組織) 仲裁機構申訴，或找律師處理。由於原網域看似已無望取回，Flagstream 甚至開始連夜把整個組織遷移到新網域，連帶造成電子郵件位址、宣傳品與 SEO (搜尋引擎最佳化) 成果全面失效的風險。轉折出現在隔天早上。一名遠在 2,000 英里外的區域分會行政助理 Susan，在自己的 GoDaddy 帳號裡發現了一個不屬於她的網域；她原本申請取回的是名稱相近、但完全不同的另一個網域。雙方聯絡後，只花不到 5 分鐘就以帳號間轉移方式把網域還給原主，網站與電子郵件也隨即恢復。進一步追查才發現，Susan 根本沒有上傳任何證明文件；她收到的上傳連結過期後，還沒補件就被 GoDaddy 通知申請已核准。文章推論，GoDaddy 的恢復團隊可能只是看到她電子郵件簽名檔裡出現原組織的子網域，就誤把整個母網域轉給她。作者認為，這不只是單一員工失誤，而是恢復與爭議處理流程出現嚴重破口；若這個網域落到惡意人士手中，對方不但能攔截郵件、取得多重要素驗證 (MFA, multi-factor authentication) 驗證碼，還可能重設銀行、薪資、雲端儲存與其他關鍵帳號，甚至發動釣魚攻擊或竄改收款資訊。文章最後把矛頭指向 GoDaddy 的整體治理能力。作者嘗試直接寄信到 ` security@godaddy.com ` 通報資安問題，卻收到信箱已停用的退信，只能改走 HackerOne 的漏洞通報平台。這也呼應整起事件的核心批判：官方管道看似存在，實際上卻無法讓真正能負責的人接手處理，甚至連基本的資安揭露入口都不友善。對 Flagstream 而言，最實際的結論已不是等待道歉，而是盡快把所有網域遷離 GoDaddy，因為在現有機制下，帳號保護、文件審查與申訴流程都無法讓人信任。在 Hacker News 的留言裡，多數人認為這起事件並非偶發，而是 GoDaddy 長年以來「行銷強、流程弱」形象的延伸：它或許因低價與高品牌辨識度成為全球最大註冊商，但規模大不等於可靠，尤其網域每年收費不高、卻承載企業最關鍵的身分與通訊命脈，一旦出事，客服往往只剩僵化流程與結案話術。許多留言因此主張應追究損害賠償，或至少向主管機關與民事法院提出申訴；也有人提醒，真正可怕的不是網站短暫下線，而是所有仰賴電子郵件驗證的銀行、CRM (客戶關係管理系統) 與商務帳號都可能被連鎖接管。少數人則補充，很多企業之所以還留在 GoDaddy，往往是歷史因素、移轉成本、24 小時電話客服與品牌慣性使然，不見得代表管理者不懂技術；但整體風向仍非常一致，普遍建議改用 Cloudflare、Porkbun、Dynadot、Amazon Route 53，或像 MarkMonitor 這類更重視企業級安全控管的註冊商。 👥 55 則討論、評論 💬 https://news.ycombinator.com/item?id=47911780 #69ee9efdfd894d86ff4ab53f

(つ`ω´)つ says to Ubuntu 台灣社群

GoDaddy 在未取得任何證明文件的情況下，把網域轉給陌生人（★ 174 分）一家位於美國賓州 Lancaster 的 IT 公司 Flagstream Technologies，替客戶管理一個已使用 27 年的主網域。4 月 18 日週六下午，GoDaddy 先寄出帳號恢復申請通知，3 分鐘後就由標示為內部人員的帳號把網域轉到另一個 GoDaddy 帳號，稽核紀錄還寫著「變更未驗證」。即使原帳號已啟用雙重兩步驟驗證 (2FA, two-factor authentication)，網域也購買了 GoDaddy 的完整隱私與保護服務，轉移仍在幾分鐘內完成。由於 GoDaddy 在移轉時把 DNS (網域名稱系統) 區域檔重設為預設值，這個擁有 20 個分支、共用同一主網域的全國性組織，網站與電子郵件立刻全面中斷，持續 4 天。負責處理的 Lee Landis 團隊在 4 天內打了 32 通電話、花了 9.6 小時與客服周旋，另寄出 17 封電子郵件，卻只是不斷被轉介到不同的通用信箱，並被要求再等 48 到 72 小時。他們依照 GoDaddy 要求送交正確的註冊人姓名、駕照與公司文件，最後收到的正式回信卻是：對方已提供必要文件，帳號變更成立，此案結案；若有異議，請自行查詢 WHOIS (公開網域註冊資料)、向 ICANN (Internet Corporation for Assigned Names and Numbers，網際網路名稱與號碼指配組織) 仲裁機構申訴，或找律師處理。由於原網域看似已無望取回，Flagstream 甚至開始連夜把整個組織遷移到新網域，連帶造成電子郵件位址、宣傳品與 SEO (搜尋引擎最佳化) 成果全面失效的風險。轉折出現在隔天早上。一名遠在 2,000 英里外的區域分會行政助理 Susan，在自己的 GoDaddy 帳號裡發現了一個不屬於她的網域；她原本申請取回的是名稱相近、但完全不同的另一個網域。雙方聯絡後，只花不到 5 分鐘就以帳號間轉移方式把網域還給原主，網站與電子郵件也隨即恢復。進一步追查才發現，Susan 根本沒有上傳任何證明文件；她收到的上傳連結過期後，還沒補件就被 GoDaddy 通知申請已核准。文章推論，GoDaddy 的恢復團隊可能只是看到她電子郵件簽名檔裡出現原組織的子網域，就誤把整個母網域轉給她。作者認為，這不只是單一員工失誤，而是恢復與爭議處理流程出現嚴重破口；若這個網域落到惡意人士手中，對方不但能攔截郵件、取得多重要素驗證 (MFA, multi-factor authentication) 驗證碼，還可能重設銀行、薪資、雲端儲存與其他關鍵帳號，甚至發動釣魚攻擊或竄改收款資訊。文章最後把矛頭指向 GoDaddy 的整體治理能力。作者嘗試直接寄信到 ` security@godaddy.com ` 通報資安問題，卻收到信箱已停用的退信，只能改走 HackerOne 的漏洞通報平台。這也呼應整起事件的核心批判：官方管道看似存在，實際上卻無法讓真正能負責的人接手處理，甚至連基本的資安揭露入口都不友善。對 Flagstream 而言，最實際的結論已不是等待道歉，而是盡快把所有網域遷離 GoDaddy，因為在現有機制下，帳號保護、文件審查與申訴流程都無法讓人信任。在 Hacker News 的留言裡，多數人認為這起事件並非偶發，而是 GoDaddy 長年以來「行銷強、流程弱」形象的延伸：它或許因低價與高品牌辨識度成為全球最大註冊商，但規模大不等於可靠，尤其網域每年收費不高、卻承載企業最關鍵的身分與通訊命脈，一旦出事，客服往往只剩僵化流程與結案話術。許多留言因此主張應追究損害賠償，或至少向主管機關與民事法院提出申訴；也有人提醒，真正可怕的不是網站短暫下線，而是所有仰賴電子郵件驗證的銀行、CRM (客戶關係管理系統) 與商務帳號都可能被連鎖接管。少數人則補充，很多企業之所以還留在 GoDaddy，往往是歷史因素、移轉成本、24 小時電話客服與品牌慣性使然，不見得代表管理者不懂技術；但整體風向仍非常一致，普遍建議改用 Cloudflare、Porkbun、Dynadot、Amazon Route 53，或像 MarkMonitor 這類更重視企業級安全控管的註冊商。 👥 55 則討論、評論 💬 https://news.ycombinator.com/item?id=47911780

at Mon, Apr 27, 2026 7:25 AM