Tên miền GoDaddy bị chuyển sang người khác mà không cần bất kỳ tài liệu nào

 (anchor.host)
3 điểm bởi GN⁺ 13 giờ trước | 2 bình luận | Chia sẻ qua WhatsApp
  • Tên miền đã vận hành suốt 27 năm bị chuyển sang một tài khoản GoDaddy khác mà không có cảnh báo trước, khiến website và email liên kết bị gián đoạn trong 4 ngày
  • Tài khoản đã bật xác thực hai lớp và áp dụng tính năng bảo vệ tên miền, nhưng trong nhật ký kiểm toán vẫn ghi Internal User đã thực hiện Transfer to Another GoDaddy Account, còn việc xác minh thì vẫn ở trạng thái chưa được thực hiện
  • Trong quá trình tiếp nhận tranh chấp, GoDaddy liên tục hướng dẫn dùng nhiều địa chỉ email và số case mới; sau 4 ngày thì thông báo tài liệu cần thiết đã được nộp nên vụ việc được đóng lại, nhưng không cho biết đó là tài liệu gì
  • Việc khôi phục thực tế không phải do đội ngũ GoDaddy mà do người nhận nhầm tên miền phát hiện một tên miền không liên quan trong tài khoản của mình rồi chủ động phối hợp; nhờ chuyển giữa các tài khoản mà tên miền đã quay về tài khoản gốc chưa đầy 5 phút
  • Việc một đợt chuyển như vậy có thể được phê duyệt mà không cần nộp tài liệu đã làm lộ ra rủi ro bảo mật như chiếm quyền email, đặt lại mật khẩu, thay đổi luồng thanh toán, đồng thời làm gia tăng lo ngại rằng kiểu đe dọa tương tự sẽ rất khó ngăn chặn trong tương lai

Tổng quan sự việc

  • Tên miền đã được sử dụng suốt 27 năm bị chuyển khỏi tài khoản GoDaddy sang một tài khoản GoDaddy khác mà không có cảnh báo trước, khiến website và email của tổ chức đó bị gián đoạn trong 4 ngày
    • Tài khoản đã bật xác thực hai lớp kép, và tên miền được áp dụng Full Domain Privacy and Protection của GoDaddy
    • Nhật ký kiểm toán ghi Transfer to Another GoDaddy Account, chủ thể thực hiện là Internal User, và Change Validated: No
  • Ngay sau khi chuyển, GoDaddy đặt lại DNS zone về mặc định, nên dù nameserver vẫn giữ nguyên thì zone file bị rỗng và toàn bộ dịch vụ chuyển sang trạng thái offline
    • Đây là tên miền cấp cao nhất được 20 chi nhánh trên khắp nước Mỹ sử dụng, và website cùng email của từng chi nhánh đều phụ thuộc vào các subdomain bên dưới
  • Email yêu cầu khôi phục tài khoản đến lúc 1:39 chiều thứ Bảy, 3 phút sau bắt đầu chuyển, 4 phút sau hoàn tất
  • Bên bị ảnh hưởng đã thực hiện 32 cuộc gọi, tổng cộng 9,6 giờ đàm thoại và gửi 17 email nhưng không nhận được bất kỳ cuộc gọi lại nào

Phản hồi của GoDaddy và quy trình xử lý tranh chấp

  • Trong lần liên hệ đầu tiên, GoDaddy xác nhận tên miền không còn trong tài khoản nữa nhưng không cho biết đã được chuyển đi đâu với lý do quyền riêng tư
  • Mỗi lần liên hệ lại phát sinh một số case mới, khiến lịch sử trước đó không được nối tiếp và mọi escalations đều phải bắt đầu lại từ đầu
    • Bài viết ghi các số case thực tế như 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012
  • Tranh chấp tên miền được nộp qua đường dẫn cas.godaddy.com/Form/TransferDispute, và phía yêu cầu đã gửi tên người đăng ký tên miền, bằng lái xe và tài liệu doanh nghiệp
    • Mỗi lần nộp, thời gian phản hồi dự kiến lại được thông báo là 48~72 giờ
  • Sau 4 ngày, GoDaddy chỉ gửi một email nói rằng “người đăng ký đã cung cấp các tài liệu cần thiết nên việc thay đổi tài khoản đã được tiến hành, và vụ việc đã kết thúc
    • Họ không bao giờ giải thích cụ thể tài liệu nào đã được nộp
    • Phần hướng dẫn tiếp theo chỉ bao gồm các liên kết tới tra cứu WHOIS, nhà cung cấp trọng tài ICANNtrang thông tin về thuê luật sư

Gián đoạn vận hành và nỗ lực khôi phục tạm thời

  • Sau khi GoDaddy thông báo đóng vụ việc, tổ chức bị ảnh hưởng bắt đầu chuyển khẩn cấp sang một tên miền mới
    • Việc chuyển đổi sang địa chỉ email mới và địa chỉ website mới được thực hiện xuyên đêm
  • Vì không thể kiểm soát tên miền cũ, thiệt hại đối với toàn bộ địa chỉ email, tài liệu marketingtài sản SEO tích lũy ngày càng nghiêm trọng
    • Email gửi tới địa chỉ cũ buộc phải bị trả lại
    • Tên miền cũ còn xuất hiện trong ấn phẩm in và tài liệu bên ngoài đều trở thành thông tin sai
  • Sau khi tên miền gốc quay trở lại, họ lại phải chuyển ngược email và website về tên miền cũ để hoàn tác công việc đã làm từ ngày hôm trước

Nguyên nhân thực tế và con đường khôi phục

  • Sáng hôm sau, một người ở cách trụ sở chính của tổ chức bị ảnh hưởng 2.000 dặm phát hiện trong tài khoản GoDaddy của mình xuất hiện một tên miền không liên quan
    • Người này đang cố lấy lại một tên miền khác mà một nhân viên cũ từng sử dụng
  • Khi phối hợp với người đó để thực hiện chuyển giữa các tài khoản của GoDaddy, tên miền đã quay về tài khoản gốc chưa đầy 5 phút, và DNS cũng bắt đầu được khôi phục ngay lập tức
  • Việc giải quyết thực tế không đến từ đội hỗ trợ, đội tranh chấp hay Office of the CEO của GoDaddy, mà đến từ người đã nhận nhầm tên miền sau khi họ nhận ra vấn đề và chủ động liên hệ

Đợt chuyển được phê duyệt mà không cần tài liệu

  • Bên nhận nhầm tên miền là một chi nhánh địa phương trong cùng mạng lưới, và 2 tuần trước đó đã yêu cầu GoDaddy khôi phục một tên miền khác
    • Tên miền được yêu cầu là HELPNETWORKLOCAL.ORG, còn tên miền thực tế bị chuyển đi là HELPNETWORKINC.ORG
  • Trong chữ ký email của người này có website subdomain của HELPNETWORKINC.ORG, và có vẻ đội khôi phục của GoDaddy đã nhìn vào tên miền cấp cao nhất trong chữ ký rồi chuyển chính tên miền đó sang tài khoản của họ
  • GoDaddy đã gửi liên kết để tải lên tài liệu chứng minh, nhưng liên kết đó hết hạn trước khi được sử dụng
    • Sau khi yêu cầu cấp liên kết mới, email phê duyệt chuyển tên miền lại đến trước cả khi liên kết mới được gửi
  • Kết quả là người này không nộp bất kỳ tài liệu nào, cả cho tên miền mà họ định lấy lại lẫn cho tên miền mà họ thực tế nhận được
    • Dù vậy, GoDaddy vẫn chuyển tên miền của một tổ chức phi lợi nhuận 27 năm tuổi sang tài khoản khác và sau đó đóng luôn tranh chấp

Tác động bảo mật

  • Bài viết nêu rõ rằng nếu người nhận là kẻ xấu, họ có thể thực hiện chiếm quyền email, đặt lại mật khẩu, nhận mã MFA, phishing, phát tán mã độcthay đổi luồng thanh toán
  • Trong thời gian không xác định được tên miền đang ở đâu, tổ chức bị ảnh hưởng đã phải chuẩn bị yêu cầu mọi người dùng gỡ bỏ tên miền đã bị xâm phạm khỏi các tài khoản dịch vụ quan trọng
    • Danh sách này bao gồm ngân hàng, Amazon, IRS, hệ thống payroll, Dropbox, tài khoản email, thậm chí cả tài khoản GoDaddy
  • Việc loại chuyển đổi này được phê duyệt mà không cần tài liệu tự thân đã bộc lộ một vấn đề bảo mật nghiêm trọng

Vấn đề với kênh báo cáo bảo mật và các bước tiếp theo

  • Khi gửi email tới security@godaddy.com để chuyển trực tiếp kết quả điều tra trước khi đăng bài cho đội bảo mật của GoDaddy, email đã bị trả lại
    • Phản hồi tự động cho biết hộp thư đó không còn được giám sát nữa, đồng thời chỉ tới Abuse Reporting Formhttps://hackerone.com/godaddy-vdp như các lựa chọn thay thế
  • Báo cáo tương tự cuối cùng đã được gửi qua HackerOne, và bài viết ghi report #3696718
  • Việc kênh chính thức không hoạt động, trong khi chỉ những ai biết đường vòng mới có thể tiếp cận đúng người phụ trách, đã lặp lại cùng một mô thức như phản ứng đối với sự cố gián đoạn 4 ngày lần này
  • Theo nguyên văn, các hành động tiếp theo được yêu cầu rất rõ ràng
    • Flagstream Technologies cần được một người phụ trách có danh tính rõ ràng liên hệ trực tiếp
    • Phải để lại địa chỉ email có thể phản hồi và số điện thoại, thay vì dùng hộp thư công cộng cho mục đích chung
    • Cần rà soát nội bộ quy trình xác minh chuyển đổilý do vì sao việc chuyển được phê duyệt mà không có tài liệu

Hướng xử lý còn lại

  • Lo ngại lớn hơn của bên bị ảnh hưởng là chừng nào còn để tên miền ở GoDaddy thì không thấy cách nào để ngăn kiểu đe dọa tương tự tái diễn trong tương lai
  • Bài viết cho biết Flagstream nhiều khả năng sẽ chuyển toàn bộ tên miền của mình ra khỏi GoDaddy
  • Phần cuối để lại một vấn đề đáng suy nghĩ: nếu bạn đang đặt tên miền tại GoDaddy, bạn nên tự kiểm tra xem sẽ phản ứng thế nào nếu tên miền biến mất khỏi tài khoản và toàn bộ hoạt động kinh doanh bị tê liệt

Bài viết liên quan

2 bình luận

 
ndrgrd 2 giờ trước

Mỗi lần thấy những chuyện như thế này, tôi lại nghĩ không biết có khó không nếu thiết kế hệ thống theo hướng khiến việc lách luật hoặc thất bại là không thể xảy ra, ngay cả khi không cần phải đọc quá nhiều tài liệu.
 
GN⁺ 13 giờ trước
Ý kiến trên Hacker News

  • GoDaddy tai tiếng đến mức còn có hẳn một bài Wikipedia riêng
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • Tiền sử của GoDaddy quá tệ, chỉ cần gom các vụ cũ lại là đủ thấy bối cảnh
    Tháng 1/2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Tháng 1/2019: GoDaddy injecting JavaScript into websites and how to stop it
    Tháng 8/2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Tháng 12/2022: GoDaddy buying domains when they expire to extort their own users
    Tháng 7/2023: Godaddy just stole my domain
    Tháng 1/2024: Tell HN: GoDaddy Stole My Domain

    • Năm 2011 họ còn ủng hộ SOPA, và cuối cùng cũng chưa từng rút lại sự ủng hộ đó
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      Họ luôn tạo cảm giác là kiểu công ty chuộng phô trương hơn công nghệ, đội kỹ thuật thì cứ lĩnh lương cho xong nên trông chẳng mấy quan tâm đến khách hàng hay chất lượng, và hành động thực tế đúng là cho thấy như vậy
    • Tai tiếng đến mức có hẳn bài Wikipedia riêng, nhưng trong đó cũng như trong danh sách của bạn vẫn thiếu chuyện chặn cả cấp quốc gia
    • GoDaddy từng chặn nguyên cả quốc gia, và tôi nhớ có thời điểm lệnh chặn đó không chỉ áp lên website của họ mà còn cả dịch vụ DNS dành cho khách hàng
      Khi đó từ một số quốc gia nhất định, ngay cả website của chính khách hàng cũng có thể không truy cập được
      Giá thì đắt mà giá trị thì quá thấp, thật không hiểu sao còn dùng
    • Link chứng chỉ SSL đầu tiên năm 2017 là sai, link đúng là https://news.ycombinator.com/item?id=13377214
      Link hiện tại lại trỏ về chính thread này
    • Chỉ cần tìm các câu chuyện về GoDaddy trên Slashdot ngày xưa là đủ
      Từ thời tôi mới có chiếc máy tính đầu tiên, GoDaddy đã bị coi là NoDaddy rồi
      Hồi đầu đến giữa những năm 2000, một trong số rất ít lần tôi thấy lập trình viên công khai gọi thứ gì đó là kỳ thị phụ nữ chính là khi nói về gian hàng hội nghị của GoDaddy, và tôi vẫn còn nhớ điều đó

  • Lúc đầu nhìn khá giống do người trong cuộc làm
    Bên AWS cũng từng có vụ tôi đã cấu hình bảo mật đầy đủ mà tài khoản vẫn bị xâm nhập, sau đó mới lộ ra nguyên nhân là các nhà thầu nội bộ
    Trước đó AWS cứ đổ lỗi cho tôi mà không có căn cứ gì, chỉ đến khi tôi liên hệ văn phòng tổng chưởng lý bang thì họ mới bắt đầu điều tra và quản lý mới xử lý nghiêm túc

    • Đọc đoạn cuối bài sẽ thấy có giải thích
      Một khách hàng GoDaddy khác đã yêu cầu chuyển một domain có tên khá giống, và trong quá trình đó họ đã chuyển nhầm domain sai
    • Vụ này có vẻ không phải hành vi ác ý của người trong cuộc mà gần hơn với xử lý nội bộ kém năng lực
      Nhân viên hoàn toàn không tuân thủ quy trình, lại còn đọc email sai một cách vô lý nên chuyển nhầm sang domain khác
    • Cách diễn giải đó không hợp lý
      Sở dĩ cuối cùng có thể đảo ngược được là vì bên nhận domain đã trực tiếp báo cho bộ phận hỗ trợ GoDaddy rằng nó bị chuyển nhầm
      Tôi không hiểu làm sao có thể xem đó là một màn dàn dựng từ nội bộ
    • Nếu đọc kỹ bài, domain được chuyển sang cho một người ở chi nhánh địa phương của cùng tổ chức, người đó nhận ra tình hình rồi liên hệ chủ sở hữu ban đầu để giải quyết
      Xét theo bất kỳ nghĩa nào thì cũng không giống inside job
    • Nếu là người trong cuộc thì tại sao lại nhét nhầm domain vào tài khoản của một người lạ hoàn toàn không định dùng đến nó?
      Người nhận còn chủ động tìm cách trả lại cho chủ cũ, nên rất khó coi đây là một vụ chiếm đoạt có chủ đích

  • Bài viết nhắc đến ba điểm là toàn bộ địa chỉ email mất hiệu lực, mọi tài liệu marketing đều sai, và mất SEO, nhưng theo tôi vẫn còn thiếu điều nghiêm trọng hơn
    Mất domain là lập tức rơi vào tình trạng bị khóa khỏi mọi tài khoản online đang nhận mã xác minh đăng nhập bất thường qua email
    Từ ngân hàng, CRM đến đủ loại dịch vụ kinh doanh đều có thể lần lượt bị khóa

    • Đúng vậy, 2FA qua email vốn đã rủi ro rồi, cộng thêm sự kém cỏi của registrar thì còn đáng sợ hơn
    • Vài năm trước, việc gắn mọi thứ vào email theo domain riêng từng có vẻ là phương án tốt nhất
      Chỉ cần mình sở hữu domain thì có thể host ở bất cứ đâu nên nghe rất lý tưởng
      Nhưng nghĩ đến kiểu kịch bản thảm họa như thế này thì rốt cuộc tôi vẫn phải giữ lại Gmail
      May là ở EU người ta vẫn khá coi trọng việc xác minh chủ sở hữu thực tế, nên dù có lỗi kiểu này thì khả năng cao vài giờ là gỡ được
    • Hiệu ứng dây chuyền lớn đến mức khó mà hình dung nổi
      Nếu mọi thứ đều gắn với email đó thì còn nghiêm trọng hơn cả mất điện thoại hay SIM, giống cảnh ở nước ngoài không dùng được số điện thoại nhưng còn tệ hơn
    • Đây đúng là điểm cốt lõi mà tôi chưa nghĩ tới
    • Nếu đây là một vụ chiếm đoạt có chủ đích, cơ hội lừa đảo sẽ cực kỳ lớn
      Vì email và mọi liên lạc đều đổ về cùng domain đó, kẻ giả mạo có thể tiếp tục trả lời thư như thể chưa hề có chuyện gì xảy ra
      Điều đáng sợ hơn là, ví dụ GoDaddy lỡ chuyển giao thứ như npmjs.com, thì người ta gần như có thể thành crypto billionaire chỉ sau một đêm

  • Tôi nghĩ nên đăng ký nhãn hiệu cho domain
    Chỉ tốn vài trăm đô, có thể làm online, và như vậy quyền của bạn sẽ mạnh hơn rất nhiều trước ICANN, kẻ cướp domain, typosquatter, registrar hay thậm chí tại tòa
    Bạn có thể gửi thư cảnh cáo mạnh từ luật sư, bỏ qua tầng hỗ trợ khách hàng và đẩy vụ việc nhanh sang hướng pháp lý
    ANIMATS®

    • Cấu trúc này thật tệ hại
      Trả thêm tiền thì khả năng tự vệ cho quyền sở hữu cũng tăng theo
    • Tôi điều hành một registrar domain
      Theo ý kiến cá nhân, tốt hơn là đừng lôi nhãn hiệu vào những tranh chấp kiểu này
      Ngay khi bạn nêu yêu cầu dựa trên nhãn hiệu, domain thường sẽ bị khóa để ngăn thay đổi, và bạn sẽ được hướng dẫn nộp UDRP
      Có thể phải mất vài tháng mới có phán quyết
      Thư cảnh cáo từ luật sư cũng tương tự, trừ vài trường hợp rất hạn chế thì chúng tôi không có nghĩa vụ phải tốn chi phí pháp lý để trả lời
      Nhưng khi bạn yêu cầu một cách xử lý cụ thể dựa trên quyền pháp lý, rốt cuộc bên kia cũng chỉ có thể trả lời là hãy đưa ra tòa án có thẩm quyền hoặc theo quy trình chính thức
    • Tôi tò mò là có thể đăng ký nhãn hiệu online ở đâu
      Ở Canada về cơ bản vẫn phải thuê luật sư, và khi tồn đọng nặng sau COVID thì có lúc phải đợi 4 năm mới đăng ký xong
      Nếu có thể đăng ký online đơn giản thì thật tuyệt
    • Có nhãn hiệu rồi đôi khi vẫn chẳng có nhiều tác dụng
      Trường hợp của tôi là có nhãn hiệu đã đăng ký tại Mỹ, lại còn có trước về mặt thời gian, thế mà Facebook vẫn khóa website của tôi

  • Không chỉ 10 năm trước mà ngay cả bây giờ tôi vẫn không hiểu vì sao người ta còn dùng GoDaddy

    • Dù sao đây vẫn là registrar lớn nhất thế giới, và bỏ xa phần còn lại
      Với doanh nghiệp, chiến lược chọn nhà cung cấp nổi tiếng nhất thường khá hiệu quả, vì người ta kỳ vọng họ phải có sẵn quy trình để xử lý đủ loại tình huống
      Bởi vậy vụ này càng thấy nghiêm trọng hơn
      Domain lại là lĩnh vực rất lạ: cực kỳ quan trọng với doanh nghiệp nhưng doanh thu trên mỗi khách hàng thì hầu như chẳng đáng bao nhiêu
      Cả hạ tầng đều phụ thuộc vào nó mà mỗi năm chỉ khoảng 15 đô, nên chỉ cần một yêu cầu hỗ trợ thôi là khách gần như đã không còn sinh lời
    • Phần lớn người mua domain ngày nay là người dùng không chuyên kỹ thuật, và thật ra tình trạng này đã kéo dài từ lâu rồi
      Nếu hỏi 100 người mua domain ở đâu, khả năng rất cao GoDaddy sẽ đứng số 1 áp đảo
      Chuyện tai tiếng thương hiệu hay sự cố bảo mật thì đa số có lẽ họ cũng không biết
    • Đúng vậy
      Tôi thấy hơi buồn cười khi đọc cụm nhân sự IT có năng lực
      Gần như tôi chưa từng nghe điều gì tốt đẹp về GoDaddy
    • Nhiều doanh nghiệp lớn dùng GoDaddy hơn bạn nghĩ
      Và hỗ trợ managed hosting của họ thật ra lại khá ổn
      Tôi không thích dịch vụ của họ, nhưng có vài khách hàng của tôi đang dùng, và mỗi lần có sự cố máy chủ thì hỗ trợ xử lý rất nhanh, tiện hơn nhiều so với việc tôi tự lao vào
      Ít nhất cho đến giờ vẫn là hỗ trợ nội địa chứ không phải thuê ngoài ở nước ngoài
    • Việc đăng ký domain thường diễn ra ở giai đoạn rất sớm của doanh nghiệp, thậm chí có thể là hành động cụ thể đầu tiên của nhà sáng lập
      Nếu là nhà sáng lập không chuyên kỹ thuật thì họ chỉ đơn giản lên Google tìm buy a domain rồi chọn chỗ hiện ra đầu tiên
      Sau này khi hệ thống IT trưởng thành hơn thì nên chuyển sang nhà cung cấp tốt hơn, nhưng domain thường được đăng ký nhiều năm kèm tự động gia hạn, và nếu mọi thứ đang chạy ổn thì các rủi ro mang tính lý thuyết sẽ luôn xếp sau công việc trước mắt

  • Nói thật thì, năng lực và việc để domain khách hàng ở GoDaddy nghe khá không ăn khớp với nhau

    • Nhiều người còn trói cả DNS lẫn dịch vụ phụ trợ vào cùng một registrar
      Đó là sai lầm, nhưng lại là mẫu hành vi rất phổ biến
      Khi mọi thứ đang chạy tốt, sẽ không dễ gì thuyết phục một khách hàng chưa từng gặp vấn đề rằng nên chuyển cả DNS, hosting và email đi nơi khác
    • Nghe hơi mỉa mai thật, nhưng có thời GoDaddy từng là lựa chọn giá rẻ, rồi người ta cứ thế dùng tiếp
      Sau khi Google Domains bị chuyển giao, tôi cũng dùng Squarespace khá nhiều, vì giá hợp lý và quan trọng hơn là nó đã đang chạy
      Có thể tồn tại công cụ tốt hơn, nhưng migration tốn thời gian, có rủi ro gián đoạn cho khách và cũng gây stress
      Không phải vì tôi không dựng được VPS, mà vì rất khó biện minh cho việc bỏ ra vài tiếng không được trả công để làm chuyện đó
      Ở đây có thể cũng là tình huống tương tự, và dù Lee có cực kỳ giỏi thì foot gun đã nằm đó im lặng quá lâu rồi mới phát nổ
      Không lý tưởng, nhưng ngoài đời hoàn toàn có thể xảy ra, và ít nhất vụ này giúp tôi càng rõ hơn những công ty mình sẽ tránh trong tương lai
    • Ngay cả khi nhìn vào mọi lựa chọn thay thế được đề xuất ở đây, cũng không thể đảm bảo rằng trong 5 năm tới họ sẽ không enshittification, không bị bán cho PE kiểu bóc lột, không thay hỗ trợ bằng AI, hoặc không cắt 40% nhân sự
      27 năm là quãng thời gian rất dài
      Một nhân sự IT giỏi có thể lập kế hoạch dự phòng cho các sự cố có thể dự đoán, nhưng không thể kiểm soát được sai lầm ở cấp registrar
      Ngay cả những công ty như MarkMonitor, tự quảng bá là bulletproof domains, cũng từng gây ra sự cố lớn
      Và việc bảo người ta đăng ký domain mới ở X thì dễ, nhưng bảo họ kéo một domain cũ ra khỏi Y thì khó hơn nhiều
    • Vậy thì nên để domain ở đâu mới tốt?
    • Tôi không hiểu tại sao lại nói là không ăn khớp
      GoDaddy dù sao cũng là registrar chính thức, và khách hàng còn bật cả MFA hai lớp
      Khách hàng đã làm mọi thứ họ có thể làm rồi
      Tôi từng nghe chuyện GoDaddy mắc những lỗi kỳ quặc, nhưng mức chuyển nhầm lố bịch thế này thì lần đầu mới thấy
      Đổ lỗi cho nạn nhân trong trường hợp này chẳng khác gì bảo vì không khóa cửa nên bị trộm cũng là tự chịu
      Người phá vỡ quy tắc là GoDaddy, còn khách hàng trả tiền chính là để được kỳ vọng rằng các quy tắc đó sẽ được tuân thủ
      Một khi đã nghiêng sang hướng đổ lỗi cho nạn nhân thì thường là đang đứng về phía sai

  • Việc chuyển nhầm domain tự nó đã là vô năng rồi, mà còn xử lý như thế không cần lấy nổi một giấy tờ cần thiết nào thì rõ ràng là cẩu thả nghiêm trọng
    Nghiêm trọng ở nhiều tầng mức khác nhau

    • Điều còn tệ hơn là khi chủ sở hữu ban đầu mở ticket, họ vẫn không thừa nhận sai lầm hay sửa ngay
    • Nghĩ đến hệ quả dây chuyền mà kiểu chuyển giao này có thể gây ra thì thật sự rùng mình

  • Vì vậy tôi thích những registrar có trách nhiệm như porkbun hơn, dù quy mô không quá lớn
    Từ sau khi từng mất domain ở một registrar kiểu “cheap name” thì tôi càng nghĩ vậy
    Chỉ là trải nghiệm cá nhân, tôi không có lợi ích liên quan gì với hai bên được nhắc tới

  • GoDaddy từ lâu đã tự chứng minh mình là một công ty mục ruỗng
    Nếu khách không trả tiền đúng hạn, họ giữ luôn domain đó rồi đội giá lên rất cao để đem đấu giá lại, và đó chỉ là một trong rất nhiều việc tồi tệ họ từng làm
    Domain chính của tôi đến giờ vẫn nằm ở nic.ddn.mil / rs.internic.net, tức phía Network Solutions ngày nay
    Ngày xưa ít nhất họ còn có đạo đức kiểu mỗi địa điểm vật lý chỉ cấp một domain để dành cho thế hệ tương lai, nhưng chỉ cần một công ty dược định mua một lúc chừng 90 cái là đạo đức đó biến mất ngay
    Dù vậy, ngay cả quy trình cũ kỹ đó, thứ đã có nguồn thu hàng chục năm mà vẫn không cải thiện nổi, vẫn cho tôi cảm giác đáng tin hơn GoDaddy
    Trong giới biết chuyện thì GoDaddy từ lâu đã là trò đùa mà ai cũng rõ