GoDaddy слил 27-летний домен: система апрувит трансфер без...

157

GoDaddy слил 27-летний домен: система апрувит трансфер без единого документа

GoDaddy перевел 27-летний домен организации на аккаунт незнакомки, не проверив ни единого документа — а когда владельцы оспорили передачу с железобетонными пруфами, тупо закрыл тикет.

В субботу днем запрос на восстановление аккаунта привел к тому, что некий "Внутренний пользователь" GoDaddy провел трансфер домена за 3 минуты.

Сайт и корпоративная почта организации мгновенно легли по 20 филиалам.

Ли Лэндис, IT-партнер во Flagstream Technologies, сделал 32 звонка, провисев на холде 9.6 часов за четыре дня.

Саппорт GoDaddy гонял его по шаблонным адресам — undo``@godaddy.com, затем transferdisputes``@godaddy.com, потом artreview``@godaddy.com — и везде отвечали: "Просто ждите, мы работаем над этим".

Каждая эскалация генерировала новый номер тикета; в самой системе GoDaddy они никак не связывались между собой.

Спустя четыре дня этого раздробленного саппорта GoDaddy заявил, что домен принадлежит другому человеку, и закрыл кейс.

Трансфер прошел, несмотря на включенную опцию "Full Domain Privacy and Protection" и двойную 2FA на аккаунте.

Команда восстановления, судя по всему, сопоставила домен с подписью в email-запросе и перекинула HELPNETWORKINC.ORG на аккаунт просящей — при том, что изначально она запрашивала совершенно другой домен.

Когда GoDaddy выслал ей ссылку для загрузки подтверждающих документов, она сгорела.

Женщина запросила новую.

Еще до того, как ссылка пришла, она получила письмо с подтверждением трансфера.

Она не отправила ни единого документа.

Организация уже планировала дорогую миграцию домена, когда в среду утром незнакомка за 2,000 миль от них обнаружила чужой домен в своем аккаунте GoDaddy.

Она обзвонила контакты, связалась с Flagstream, и они провели перенос между аккаунтами, чтобы вернуть домен владельцам.

Весь откат занял 5 минут.

Саппорт GoDaddy не смог сделать это за четыре дня.

Проблема решилась только благодаря честности этой женщины: будь она злоумышленницей, она могла бы перехватить коды восстановления из почты, запустить фишинговые атаки или угнать платежи, проходящие через домен.

Секьюрити-почта GoDaddy блокирует входящие репорты.

Перед публикацией автор поста скинул полный отчет на security``@godaddy.com; письмо отбилось обратно.

В автоответе было сказано, что ящик "больше не мониторится", а отправителям предлагалось либо заполнить "Abuse Reporting Form", либо идти в баг-баунти программу на HackerOne.

Большинство людей, обнаруживающих уязвимости, не сидят на HackerOne.

Официальный канал не работает; альтернативный путь требует понимания, как этот канал обойти.

https://anchor.host/godaddy-gave-a-domain-to-a-stranger-without-any-documentation

@MikeBlazerX

⚠️ Закрытый канал: @MikeBlazerPRO