Un dominio de GoDaddy fue transferido a otra persona sin un solo documento

 (anchor.host)
4 puntos por GN⁺ 3 일 전 | 2 comentarios | Compartir por WhatsApp
  • Un dominio operado durante 27 años fue movido a otra cuenta de GoDaddy sin aviso previo, lo que dejó fuera de servicio el sitio web y el correo electrónico asociados durante 4 días
  • La cuenta tenía activada la autenticación de dos factores y también tenía aplicada la protección del dominio, pero en el registro de auditoría figuraba que un usuario interno ejecutó Transfer to Another GoDaddy Account y la validación quedó como no realizada
  • Durante el proceso de disputa, GoDaddy fue indicando repetidamente varias direcciones de correo y nuevos números de caso, y 4 días después cerró el asunto diciendo que se habían presentado los documentos necesarios, pero sin revelar cuáles eran
  • La recuperación real no la hizo el equipo de GoDaddy, sino la persona que recibió el dominio por error, quien encontró un dominio equivocado en su cuenta y colaboró directamente; con una transferencia entre cuentas, el dominio volvió a la cuenta original en menos de 5 minutos
  • El hecho de que una transferencia así se aprobara sin presentar documentos expuso riesgos de seguridad como intercepción de correos, restablecimiento de contraseñas y cambio de rutas de pago, aumentando la preocupación de que será difícil impedir amenazas del mismo tipo en el futuro

Resumen del incidente

  • Un dominio usado durante 27 años fue movido desde una cuenta de GoDaddy a otra cuenta de GoDaddy sin aviso previo, lo que dejó fuera de servicio durante 4 días el sitio web y el correo electrónico de esa organización
    • La cuenta tenía activada la autenticación de dos factores en dos capas, y el dominio tenía habilitado Full Domain Privacy and Protection de GoDaddy
    • En el registro de auditoría aparecía Transfer to Another GoDaddy Account, con Internal User como ejecutor y Change Validated: No
  • Justo después del traslado, GoDaddy restableció la zona DNS a los valores predeterminados, por lo que, aunque los nameservers seguían siendo los mismos, el archivo de zona quedó vacío y todos los servicios quedaron fuera de línea
    • Ese dominio era el dominio principal usado por 20 sucursales en todo Estados Unidos, y los sitios y correos de cada sucursal dependían de sus subdominios
  • El correo solicitando la recuperación de la cuenta llegó el sábado a la 1:39 p. m., y el proceso quedó marcado como iniciado 3 minutos después y completado 4 minutos después
  • La parte afectada hizo 32 llamadas, habló 9.6 horas y envió 17 correos, pero nunca recibió una devolución de llamada

Respuesta de GoDaddy y manejo de la disputa

  • En la primera consulta, GoDaddy confirmó que el dominio ya no estaba en la cuenta, pero no informó a dónde había sido movido por motivos de privacidad
  • Cada vez que se hacía una consulta se generaba un nuevo número de caso, por lo que no se conservaba el historial previo y había que reiniciar cada escalamiento desde cero
    • En el texto aparecen números de caso reales como 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012
  • La disputa del dominio se presentó mediante la ruta cas.godaddy.com/Form/TransferDispute, y la parte solicitante entregó el nombre del registrante del dominio, licencia de conducir y documentos comerciales
    • Cada vez que enviaban algo, la respuesta repetía un tiempo estimado de 48 a 72 horas
  • Cuatro días después, GoDaddy solo envió un correo diciendo que el registrante había proporcionado los documentos necesarios, por lo que se realizó el cambio de cuenta y el asunto quedó cerrado
    • Nunca explicó qué documentos se habían presentado
    • Como seguimiento, solo envió enlaces a consulta WHOIS, proveedores de arbitraje de ICANN y una página relacionada con contratación de abogados

Interrupción operativa y recuperación temporal

  • Después de que GoDaddy notificó el cierre del caso, la organización afectada comenzó una migración de emergencia a un nuevo dominio
    • Durante la noche realizaron el cambio a nuevas direcciones de correo y a una nueva dirección web
  • Como no podían controlar el dominio anterior, el daño se amplió a todas las direcciones de correo, materiales de marketing y activos acumulados de SEO
    • Los correos enviados a las direcciones antiguas inevitablemente rebotaban
    • El dominio anterior que seguía apareciendo en impresos y materiales externos pasó a ser información incorrecta
  • Cuando el dominio original regresó, tuvieron que volver a cambiar el correo y el sitio web al dominio original para deshacer el trabajo del día anterior

Causa real y ruta de recuperación

  • A la mañana siguiente, otra persona ubicada a 2,000 millas de la sede de la organización afectada descubrió que en su cuenta de GoDaddy había aparecido un dominio equivocado
    • Esa persona estaba intentando recuperar otro dominio que había usado un exempleado
  • Al colaborar con esa persona y ejecutar la transferencia entre cuentas de GoDaddy, el dominio regresó a la cuenta original en menos de 5 minutos y el DNS comenzó a recuperarse de inmediato
  • La solución real no vino del equipo de soporte de GoDaddy, del equipo de disputas ni del equipo de la oficina del CEO, sino de la persona que recibió el dominio por error, quien detectó el problema y se comunicó directamente

Una transferencia aprobada sin documentos

  • La parte que recibió el dominio por error era una sucursal regional de la misma red y, dos semanas antes, había pedido a GoDaddy la recuperación de otro dominio
    • El dominio solicitado era HELPNETWORKLOCAL.ORG, pero el que terminó transferido fue HELPNETWORKINC.ORG
  • En la firma de correo de esa persona aparecía el sitio web en un subdominio de HELPNETWORKINC.ORG, y parece que el equipo de recuperación de GoDaddy vio el dominio principal en esa firma y movió ese dominio a su cuenta
  • GoDaddy envió un enlace para subir documentos de respaldo, pero ese enlace expiró antes de poder usarse
    • Incluso después de solicitar un nuevo enlace, antes de que llegara el enlace nuevo, ya había llegado el correo de aprobación de la transferencia del dominio
  • En consecuencia, esa persona no presentó ni un solo documento, ni para el dominio que realmente quería recuperar ni para el dominio que recibió por error
    • Aun así, GoDaddy movió a otra cuenta el dominio de una organización sin fines de lucro con 27 años de antigüedad, y luego también cerró la disputa

Impacto en la seguridad

  • El texto señala que, si el destinatario hubiera sido malicioso, habría sido posible interceptar correos, restablecer contraseñas, recibir códigos MFA, hacer phishing, distribuir malware e incluso cambiar rutas de pago
  • Mientras no sabían dónde estaba el dominio, la organización afectada tuvo que prepararse para pedir a todos los usuarios que eliminaran el dominio comprometido de cuentas de servicios críticos
    • Entre ellas estaban bancos, Amazon, IRS, sistemas de nómina, Dropbox, cuentas de correo e incluso la propia cuenta de GoDaddy
  • El simple hecho de que una transferencia así se aprobara sin documentos quedó expuesto como un grave problema de seguridad

Problemas con el canal de reporte de seguridad y medidas posteriores

  • Para enviar directamente al equipo de seguridad de GoDaddy los hallazgos antes de la publicación, se mandó un correo a security@godaddy.com, pero rebotó
  • El mismo reporte finalmente se presentó por HackerOne, y en el texto aparece report #3696718
  • El patrón de canales oficiales que no funcionan y una estructura en la que solo quien conoce una vía alterna puede llegar a la persona encargada real se repitió igual que en la respuesta a esta caída de 4 días
  • Las acciones de seguimiento exigidas al momento del texto son claras
    • Flagstream Technologies debe ser contactada directamente por una persona identificable
    • Deben dejar un correo electrónico y número telefónico con posibilidad de respuesta, no una cuenta pública genérica
    • Deben revisar internamente el proceso de validación de transferencias y cómo se aprobó sin documentos

Próximos pasos que siguen pendientes

  • La mayor preocupación de la parte afectada es que, mientras sus dominios sigan en GoDaddy, no se ve cómo impedir este mismo tipo de amenaza en el futuro
  • El texto indica que es muy probable que Flagstream traslade todos sus dominios fuera de GoDaddy
  • Al final, deja planteada la necesidad de que cualquiera que tenga dominios en GoDaddy revise por su cuenta cómo respondería si un dominio desapareciera de su cuenta y todo su negocio se detuviera

Lecturas relacionadas

2 comentarios

 
ndrgrd 2 일 전

Cada vez que veo algo así, pienso en si será muy difícil diseñar sistemas de una forma en la que no sea posible eludirlos ni hacer que fallen, incluso sin tener que leer demasiada documentación.
 
GN⁺ 3 일 전
Comentarios de Hacker News

  • GoDaddy tiene tan mala fama que hasta tiene su propio artículo dedicado en Wikipedia
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • El historial de GoDaddy es tan malo que con solo juntar casos anteriores ya se entiende el contexto
    Ene 2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Ene 2019: GoDaddy injecting JavaScript into websites and how to stop it
    Ago 2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Dic 2022: GoDaddy buying domains when they expire to extort their own users
    Jul 2023: Godaddy just stole my domain
    Ene 2024: Tell HN: GoDaddy Stole My Domain

    • En 2011 incluso apoyó SOPA, y nunca retiró ese apoyo hasta el final
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      Siempre me pareció una empresa más enfocada en la pose que en la tecnología, y con personal técnico que solo cobraba su sueldo, sin mucho interés en clientes ni calidad; su trayectoria real lo confirma tal cual
    • Tiene tan mala fama que hasta tiene un artículo en Wikipedia aparte, y ni ahí ni en tu lista aparece el tema del bloqueo por país completo
    • GoDaddy incluso llegó a hacer bloqueos de países enteros, y recuerdo que en algún momento ese bloqueo afectó no solo su sitio web sino también su servicio de DNS para clientes
      Eso significaba que, desde ciertos países, ni siquiera se podía acceder al propio sitio del cliente
      Es caro y ofrece tan poco valor que no entiendo por qué alguien lo usa
    • El primer enlace de 2017 sobre certificados SSL está mal; el enlace correcto es https://news.ycombinator.com/item?id=13377214
      El enlace actual apunta a este mismo hilo
    • Basta con buscar historias sobre GoDaddy en el viejo Slashdot
      Desde que tuve mi primera computadora ya existía la idea de que GoDaddy era NoDaddy
      Uno de los pocos casos en los 2000 tempranos o medios en que vi programadores decir abiertamente que algo era misógino fue hablando del stand de GoDaddy en convenciones, y eso todavía se me quedó grabado

  • Al principio parece obra de alguien interno
    En AWS también me pasó que vulneraran una cuenta aunque toda la configuración de seguridad estaba bien puesta, y después se supo que el problema fueron contratistas internos
    Hasta entonces AWS no hacía más que echarme la culpa sin ninguna base, y solo empezaron a investigar cuando contacté a la oficina del fiscal general del estado; ahí sí un gerente empezó a tomarlo en serio

    • Si lees el final del artículo, sí explican qué pasó
      Otro cliente de GoDaddy solicitó la transferencia de un dominio con un nombre parecido, y en el proceso entregaron el dominio equivocado
    • Esto se parece más a ineptitud interna que a una acción maliciosa de un interno
      El empleado no siguió ningún procedimiento y además leyó el correo de forma absurdamente incorrecta, así que transfirió un dominio que no tenía nada que ver
    • Esa interpretación no cuadra
      De hecho solo pudieron revertirlo porque la parte que recibió el dominio avisó directamente al soporte de GoDaddy que había sido transferido por error
      No veo cómo eso podría considerarse una operación interna maliciosa
    • Si lees bien el artículo, el dominio terminó en manos de alguien de un capítulo regional de la misma organización, esa persona se dio cuenta de la situación y contactó al dueño original para resolverlo
      En ningún sentido parece un inside job
    • Cuesta creer que alguien interno fuera a meter un dominio cualquiera en la cuenta de un desconocido si ni siquiera tenía intención de usarlo
      Además, la persona que lo recibió se movió para devolverlo a su dueño original, así que cuesta sostener que haya sido un robo intencional

  • El texto menciona tres cosas: todas las direcciones de correo inválidas, todo el material de marketing con errores y pérdida de SEO, pero creo que falta algo todavía más grande
    Si pierdes el dominio, de inmediato se produce el bloqueo de todas las cuentas en línea que dependen de recibir por correo códigos de verificación de inicio de sesión inusual
    Eso puede afectar bancos, CRM y toda clase de servicios empresariales

    • Exacto, la 2FA por correo electrónico ya es riesgosa de por sí, y si además le sumas la incompetencia del registrador da todavía más miedo
    • Hace unos años parecía que lo mejor era vincularlo todo al correo del dominio
      Si el dominio era mío, podía alojarlo donde fuera, así que en teoría sonaba ideal
      Pero al pensar en este tipo de escenario catastrófico, al final no me quedó otra que seguir conservando Gmail
      Por suerte, en la UE todavía se le da bastante importancia a verificar al propietario real, así que si ocurre un error así probablemente se resuelva en pocas horas
    • El efecto en cadena es difícil hasta de imaginar
      Si todo depende de ese correo, puede ser peor que perder el teléfono o la SIM; se parece a no poder usar tu número cuando estás en el extranjero, pero todavía peor
    • De verdad es un punto central en el que no había pensado
    • Si esto hubiera sido un robo dirigido, las oportunidades de fraude habrían sido enormes
      Como el correo y todos los contactos usan el mismo dominio, un impostor podría seguir respondiendo mensajes como si nada hubiera pasado
      Y da más miedo aún pensar que, por ejemplo, si GoDaddy entregara así como así algo como npmjs.com, alguien podría convertirse en crypto billionaire de la noche a la mañana

  • Creo que conviene registrar la marca del dominio
    Cuesta unos pocos cientos de dólares, se puede hacer en línea, y así tu posición legal se vuelve mucho más fuerte frente a ICANN, secuestradores de dominios, typosquatters, registradores o incluso en tribunales
    También puedes mandar una carta fuerte de advertencia firmada por un abogado y saltarte la etapa de soporte para escalar más rápido a lo legal
    ANIMATS®

    • Qué estructura tan horrible
      En la práctica significa que si pagas más, también obtienes más capacidad de defender la propiedad
    • Yo opero un registrador de dominios
      En mi opinión personal, es mejor no meter marcas registradas en disputas como esta
      En cuanto sacas el argumento de la marca, el dominio queda bloqueado para impedir cambios y normalmente te indican que presentes una UDRP
      Eso puede tardar meses en resolverse
      Las cartas de abogados son parecidas: salvo en casos muy limitados, no tenemos obligación de gastar recursos en responder cuestiones legales
      Pero si exiges un tratamiento específico basándote en derechos legales, al final lo único que podemos responder es que vayas al tribunal competente o al procedimiento formal correspondiente
    • Me da curiosidad dónde se puede hacer un registro de marca en línea
      En Canadá en la práctica casi necesitas abogado, y cuando hubo mucho retraso después del COVID, a veces había que esperar hasta 4 años para completar el registro
      Sería buenísimo poder hacerlo de forma sencilla en línea
    • A veces tener una marca no sirve de mucho
      En mi caso tenía una marca registrada en EE. UU. y además anterior en el tiempo, y aun así Facebook cerró mi sitio

  • No entendía hace 10 años, y tampoco entiendo hoy, por qué alguien sigue usando GoDaddy

    • Aun así sigue siendo el registrar más grande del mundo, y por mucho
      Desde la perspectiva de negocio, elegir al proveedor más conocido suele funcionar bastante bien, porque uno espera que tenga procesos establecidos para manejar toda clase de situaciones
      Por eso este incidente se siente todavía más grave
      Los dominios son algo extremadamente importante para cualquier negocio, pero a la vez este es un sector rarísimo donde casi no se gana nada por cliente
      Toda la infraestructura depende de esto y, aun así, cuesta como 15 dólares al año; basta una sola solicitud de soporte para que el cliente deje de ser rentable
    • Hoy en día la mayoría de quienes compran dominios son usuarios no técnicos, y en realidad esto ya lleva mucho tiempo siendo así
      Si le preguntas a 100 personas dónde comprarían un dominio, es muy probable que GoDaddy salga primero por enorme margen
      La mayoría tampoco sabrá nada de sus escándalos de marca o incidentes de seguridad

    • Me dio un poco de risa leer lo de responsable de IT competente
      Casi nunca he escuchado a alguien hablar bien de GoDaddy
    • Más empresas grandes de las que uno imaginaría usan GoDaddy
      Y el soporte de managed hosting, sorprendentemente, es bastante decente
      No me gusta el servicio en sí, pero varios clientes míos lo usan y cada vez que había problemas con servidores el soporte los arreglaba rápido, mucho más fácil que meterme yo mismo
      Al menos hasta ahora no era soporte tercerizado en el extranjero sino local
    • El registro de un dominio normalmente ocurre en la etapa inicial del negocio, y puede ser la primera acción concreta que toma un fundador
      Si no es técnico, simplemente googlea buy a domain y entra al primer resultado
      Más adelante, cuando la estructura de IT madura, debería migrarse a un proveedor mejor, pero el registro suele estar hecho por varios años con renovación automática y, mientras nada falle, las urgencias del día a día pesan más que un riesgo teórico

  • Si soy sincero, ser competente y dejar los dominios del cliente en GoDaddy no me parecen cosas que combinen muy bien

    • Mucha gente termina atando DNS y servicios adicionales al mismo registrador
      Es un error, pero es un patrón muy común
      Si todo ya funciona bien, no es fácil convencer a un cliente que nunca ha tenido problemas de mover también el DNS, el hosting y el correo
    • Suena algo sarcástico, pero en algún momento fue la opción barata y quizá simplemente siguieron ahí
      Yo también uso bastante Squarespace desde que desapareció Google Domains, porque el precio es razonable y, sobre todo, porque ya está funcionando
      Puede haber herramientas mejores, pero migrar implica tiempo, riesgo de afectar al cliente y estrés
      No es que uno no pueda levantar un VPS, es que cuesta justificar dedicar esas horas sin cobrarlas
      Aquí pudo haber pasado algo parecido, y aunque Lee fuera muy competente, tal vez simplemente le explotó tarde un foot gun que llevaba años sin dar problemas
      No es lo ideal, pero en la práctica pasa, y al menos este caso me dejó todavía más claro qué proveedor evitar en el futuro
    • Incluso viendo todas las alternativas recomendadas aquí, nadie puede garantizar que en los próximos 5 años esa empresa no caiga en la enshittification, no la compre un PE depredador, no reemplace soporte con IA o no recorte 40% del personal
      27 años es muchísimo tiempo
      Un responsable de IT competente puede preparar planes de respaldo para fallas previsibles, pero no puede controlar errores a nivel de registrar
      Hasta compañías como MarkMonitor, que se venden como bulletproof domains, han tenido incidentes serios
      Y es fácil decir “registra los dominios nuevos en X”, pero sacar un dominio viejo de Y suele ser mucho más difícil
    • Entonces, ¿dónde conviene tener los dominios?
    • No entiendo por qué dicen que no combina
      GoDaddy es, al fin y al cabo, un registrador oficial, y el cliente incluso tenía doble MFA activado
      El cliente hizo todo lo que podía hacer
      Había oído historias de errores raros de GoDaddy, pero nunca algo tan absurdo como una transferencia equivocada de este nivel
      Culpar a la víctima en una situación así no es muy distinto de decir que si no cerraste con llave la puerta, entonces es tu culpa que te roben
      Quien rompió las reglas fue GoDaddy, y el cliente les paga justamente esperando que esas reglas se respeten
      Cuando uno se inclina por culpar a la víctima, casi siempre termina del lado equivocado

  • La transferencia del dominio equivocado ya es ineptitud de por sí, y si además la procesaron sin un solo documento requerido, entonces eso ya es negligencia evidente
    Es gravísimo en varios niveles

    • Fue todavía peor que, cuando el dueño original abrió un ticket, no reconocieran el error ni lo corrigieran de inmediato
    • Solo de pensar en las consecuencias en cadena que puede tener una transferencia así da escalofríos

  • Por eso yo prefiero registradores responsables aunque no sean gigantes, como porkbun
    Más aún desde que hace tiempo perdí un dominio con un registrador del estilo de “cheap name”
    Es solo experiencia personal y no tengo ninguna relación con las dos empresas que mencioné

  • GoDaddy ya demostró hace mucho que es una empresa corrupta
    Si un cliente no pagaba a tiempo, retenían ese dominio y luego lo volvían a subastar con un sobreprecio ridículo; y esa es solo una entre muchas cosas malas que hicieron
    Mi dominio principal sigue todavía en nic.ddn.mil / rs.internic.net, o sea, en lo que hoy sería del linaje de Network Solutions
    Antes al menos tenían la ética de dar solo un dominio por sitio físico, pensando en las futuras generaciones, pero en cuanto una farmacéutica quiso comprar como 90 de una sola vez, esa ética desapareció de inmediato
    Aun así, incluso ese proceso viejo y anticuado que no han mejorado en décadas desde que ya tenían cómo ganar dinero me parece más confiable que GoDaddy
    Entre la gente que sabe, GoDaddy ya era un chiste conocido desde hace muchísimo tiempo