所属分类:国外域名注册与虚拟主机空间服务
4月29日,ICANN那边没有任何回音。此时距离我发现域名被盗已过去了13天时间,我寄托在律师身上的希望也彻底破灭了,接下来或许只能靠我自己。我不知道我还有多少时间,也许今天,也许明天,黑客就会把DNS服务器换掉,但我不能再等了。我认为必须将那个安全漏洞告知给GoDaddy他们才会重视。我写了一封很长的邮件,详细的描述了该漏洞,以及黑客利用该漏洞盗走我域名的全过程。在最后我略带威胁的语气说假如GoDaddy坚持不肯受理我的申诉,我将委托美国律师起诉GoDaddy,并将此漏洞报告给新闻媒体。希望这样能引起他们的重视。以下就是我这封邮件的全部内容(原文为英文,同时发给了他们的撤消部和客服部)
尊敬的管理员:
我是GoDaddy的客户。
先前,我和我的律师已经就我的帐户和域名被盗的问题多次与你们联系。但所有GoDaddy部门给我的答复都是由于注册人变更时间太久远而无法帮助我。这意味着假如我能早点发现域名被盗,你们就可以帮助我。
但现在我要说,当域名注册人邮箱地址被改变时,GoDaddy没有发送任何通知邮件给我,从而导致我未能及时地发现域名被盗。我发现在GoDaddy的域名过户流程中存在一个漏洞。请看我的测试过程(我已将整个测试过程制成了录象,请下载观看)
==================================================
我在GoDaddy.com注册了两个帐户,然后在其中一个帐户内购买了一个域名
我将两个帐户的邮箱地址及域名的注册邮箱地址设置为不同的三个邮箱帐户
一般情况下,只要我修改了域名注册人的名称或邮箱地址,GoDaddy系统将自动给域名注册人原邮箱发送一封通知邮件
这封邮件非常重要,一旦域名被盗,域名拥有人或网站站长能及时地发现,否则超过了15天的申诉期限,将很难追回被盗域名
但是,在GoDaddy的域名过户流程中存在一个漏洞:在过户时修改域名信息。利用这个漏洞可以使得修改域名的任何信息都不再给域名注册人原邮箱发送通知邮件
这是一个非常严重的漏洞,因为一旦GoDaddy帐户被盗,直到该帐户内的所有域名被盗,帐户拥有人都只会收到唯一的一封通知邮件
对于域名的保护措施将只有一道防线,丢失帐户,就等于丢失了全部
可能已经有很多GoDaddy客户由于这个漏洞而域名被盗,希望GoDaddy能重视这个问题,及早的进行修复,并增加GoDaddy帐户和域名的其他安全措施
==================================================
下面继续说我的域名。通过我的调查,我已经知道了黑客盗走我域名的全部过程。
1.在2012年2月22日,黑客进入了我的GoDaddy帐户,然后将我的帐户邮箱修改成他的。但当时他没有修改我帐户或域名的其他任何信息
2.在2012年2月22日,GoDaddy发了一封通知邮件给我,标题是"帐户设置确认"。我立即登陆我的帐户,检查我的帐户信息和所有域名信息,并且我的网站全部都能正常访问。因为黑客只修改了我的帐户邮箱,并且通知邮件没有告诉我具体什么信息被修改了,所以我未能发现我的帐户已被盗
3.在16天之后的2012年3月10日,黑客通过域名过户流程,将我帐户内的所有域名转移到他的帐户内。他选择了将域名信息“保持不变”,并“保持这些域名当前的DNS服务器”
在我的帐户内共有5个域名,这些域名的注册人邮箱在当时都是我本人的邮箱地址,但GoDaddy只给我GoDaddy帐户的邮箱地址发送了通知邮件,而当时我帐户的邮箱地址早已不是我本人的邮箱地址。GoDaddy没有给域名的注册人邮箱发送通知邮件,否则我在2012年3月10日就将发现域名被盗
4.由于黑客在域名过户流程中选择了将域名信息“保持不变”,并“保持这些域名当前的DNS服务器”,因此我的网站都能正常访问。而GoDaddy没有发通知邮件给我,所以我无法得知我的域名已经被过户到黑客的帐户去了
5.在29天之后的2012年4月8日,黑客最终将所有域名过户到他的另一个帐户去了(或许是其他人的帐户)。同样也是通过域名过户流程,但这次他选择了将域名信息“更改为接收帐户的信息”,并“保持这些域名当前的DNS服务器”
这些域名的注册人邮箱在当时都是我本人的邮箱地址,像之前一样,GoDaddy只给黑客帐户的邮箱地址发送了通知邮件,而没有给域名的注册人邮箱发送通知邮件
6.因为黑客在域名过户流程中选择了“保持这些域名当前的DNS服务器”,因此我的网站都能正常访问。而GoDaddy没有发通知邮件给我,所以直到2012年4月16日我才发现我的域名被盗
7.从2012年2月22日到2012年4月16日,这期间GoDaddy只发送了唯一的一封通知邮件给我,然而这封邮件发内容却太含糊。在整个过程中,黑客一直都未修改域名的DNS服务器。所有这些原因导致我无法及时的发现域名被盗,我认为这是符合情理的
==================================================
我的律师说,GoDaddy在整个过程中没有履行通知域名注册人的责任,GoDaddy不应该以“注册人变更时间太久远”的理由而拒绝我的申诉。GoDaddy有责任和义务保障客户的域名安全
基于以上事实和理由,我请求GoDaddy对我的帐户和域名展开调查。我有足够的证据能证明这些域名都是属于我的
假如GoDaddy坚持不肯受理我的申诉,我将委托我的美国律师起诉GoDaddy,并将此漏洞报告给新闻媒体。因为除了向GoDaddy申诉之外,这将是我唯一能拿回域名的办法了
尊敬的管理员:
我是GoDaddy的客户。
先前,我和我的律师已经就我的帐户和域名被盗的问题多次与你们联系。但所有GoDaddy部门给我的答复都是由于注册人变更时间太久远而无法帮助我。这意味着假如我能早点发现域名被盗,你们就可以帮助我。
但现在我要说,当域名注册人邮箱地址被改变时,GoDaddy没有发送任何通知邮件给我,从而导致我未能及时地发现域名被盗。我发现在GoDaddy的域名过户流程中存在一个漏洞。请看我的测试过程(我已将整个测试过程制成了录象,请下载观看)
==================================================
我在GoDaddy.com注册了两个帐户,然后在其中一个帐户内购买了一个域名
我将两个帐户的邮箱地址及域名的注册邮箱地址设置为不同的三个邮箱帐户
一般情况下,只要我修改了域名注册人的名称或邮箱地址,GoDaddy系统将自动给域名注册人原邮箱发送一封通知邮件
这封邮件非常重要,一旦域名被盗,域名拥有人或网站站长能及时地发现,否则超过了15天的申诉期限,将很难追回被盗域名
但是,在GoDaddy的域名过户流程中存在一个漏洞:在过户时修改域名信息。利用这个漏洞可以使得修改域名的任何信息都不再给域名注册人原邮箱发送通知邮件
这是一个非常严重的漏洞,因为一旦GoDaddy帐户被盗,直到该帐户内的所有域名被盗,帐户拥有人都只会收到唯一的一封通知邮件
对于域名的保护措施将只有一道防线,丢失帐户,就等于丢失了全部
可能已经有很多GoDaddy客户由于这个漏洞而域名被盗,希望GoDaddy能重视这个问题,及早的进行修复,并增加GoDaddy帐户和域名的其他安全措施
==================================================
下面继续说我的域名。通过我的调查,我已经知道了黑客盗走我域名的全部过程。
1.在2012年2月22日,黑客进入了我的GoDaddy帐户,然后将我的帐户邮箱修改成他的。但当时他没有修改我帐户或域名的其他任何信息
2.在2012年2月22日,GoDaddy发了一封通知邮件给我,标题是"帐户设置确认"。我立即登陆我的帐户,检查我的帐户信息和所有域名信息,并且我的网站全部都能正常访问。因为黑客只修改了我的帐户邮箱,并且通知邮件没有告诉我具体什么信息被修改了,所以我未能发现我的帐户已被盗
3.在16天之后的2012年3月10日,黑客通过域名过户流程,将我帐户内的所有域名转移到他的帐户内。他选择了将域名信息“保持不变”,并“保持这些域名当前的DNS服务器”
在我的帐户内共有5个域名,这些域名的注册人邮箱在当时都是我本人的邮箱地址,但GoDaddy只给我GoDaddy帐户的邮箱地址发送了通知邮件,而当时我帐户的邮箱地址早已不是我本人的邮箱地址。GoDaddy没有给域名的注册人邮箱发送通知邮件,否则我在2012年3月10日就将发现域名被盗
4.由于黑客在域名过户流程中选择了将域名信息“保持不变”,并“保持这些域名当前的DNS服务器”,因此我的网站都能正常访问。而GoDaddy没有发通知邮件给我,所以我无法得知我的域名已经被过户到黑客的帐户去了
5.在29天之后的2012年4月8日,黑客最终将所有域名过户到他的另一个帐户去了(或许是其他人的帐户)。同样也是通过域名过户流程,但这次他选择了将域名信息“更改为接收帐户的信息”,并“保持这些域名当前的DNS服务器”
这些域名的注册人邮箱在当时都是我本人的邮箱地址,像之前一样,GoDaddy只给黑客帐户的邮箱地址发送了通知邮件,而没有给域名的注册人邮箱发送通知邮件
6.因为黑客在域名过户流程中选择了“保持这些域名当前的DNS服务器”,因此我的网站都能正常访问。而GoDaddy没有发通知邮件给我,所以直到2012年4月16日我才发现我的域名被盗
7.从2012年2月22日到2012年4月16日,这期间GoDaddy只发送了唯一的一封通知邮件给我,然而这封邮件发内容却太含糊。在整个过程中,黑客一直都未修改域名的DNS服务器。所有这些原因导致我无法及时的发现域名被盗,我认为这是符合情理的
==================================================
我的律师说,GoDaddy在整个过程中没有履行通知域名注册人的责任,GoDaddy不应该以“注册人变更时间太久远”的理由而拒绝我的申诉。GoDaddy有责任和义务保障客户的域名安全
基于以上事实和理由,我请求GoDaddy对我的帐户和域名展开调查。我有足够的证据能证明这些域名都是属于我的
假如GoDaddy坚持不肯受理我的申诉,我将委托我的美国律师起诉GoDaddy,并将此漏洞报告给新闻媒体。因为除了向GoDaddy申诉之外,这将是我唯一能拿回域名的办法了