GoDaddy đã chuyển tên miền cho người lạ mà không cần bất kỳ giấy tờ nào

 (anchor.host)
4 điểm bởi GN⁺ 13 ngày trước | 2 bình luận | Chia sẻ qua WhatsApp
  • Tên miền đã vận hành suốt 27 năm bị chuyển sang một tài khoản GoDaddy khác mà không có cảnh báo trước, khiến website và email liên kết bị gián đoạn trong 4 ngày
  • Tài khoản đã bật xác thực 2 yếu tố và áp dụng tính năng bảo vệ tên miền, nhưng nhật ký kiểm toán cho thấy Internal User đã thực hiện Transfer to Another GoDaddy Accountviệc xác minh vẫn ở trạng thái chưa thực hiện
  • Trong quá trình tiếp nhận tranh chấp, GoDaddy liên tục hướng dẫn dùng nhiều địa chỉ email và số hồ sơ mới khác nhau; 4 ngày sau họ kết thúc vụ việc với lý do đã nộp các tài liệu cần thiết, nhưng không nói rõ đó là tài liệu gì
  • Việc khôi phục thực tế không phải do đội ngũ GoDaddy mà nhờ người nhận nhầm tên miền tự phát hiện một tên miền không liên quan trong tài khoản của mình rồi trực tiếp phối hợp xử lý; với thao tác chuyển giữa các tài khoản, tên miền đã quay về tài khoản gốc chưa đầy 5 phút
  • Việc kiểu chuyển giao này vẫn được phê duyệt dù không có tài liệu đã phơi bày rủi ro bảo mật như chiếm đoạt email, đặt lại mật khẩu và thay đổi luồng thanh toán, đồng thời làm dấy lên lo ngại rằng sau này cũng khó ngăn chặn các mối đe dọa tương tự

Tổng quan sự việc

  • Tên miền đã được sử dụng suốt 27 năm bị chuyển khỏi tài khoản GoDaddy sang một tài khoản GoDaddy khác mà không có cảnh báo trước, khiến website và email của tổ chức đó bị gián đoạn trong 4 ngày
    • Tài khoản đã bật xác thực 2 yếu tố kép, và tên miền có áp dụng Full Domain Privacy and Protection của GoDaddy
    • Nhật ký kiểm toán ghi Transfer to Another GoDaddy Account, chủ thể thực hiện là Internal User, và Change Validated: No
  • Ngay sau khi chuyển, GoDaddy đã đặt lại DNS zone về mặc định, nên dù nameserver vẫn giữ nguyên, zone file trống khiến toàn bộ dịch vụ chuyển sang trạng thái ngoại tuyến
    • Đây là tên miền cấp cao nhất được 20 chi nhánh trên khắp nước Mỹ sử dụng, và website cùng email của từng chi nhánh đều phụ thuộc vào các tên miền con của nó
  • Email yêu cầu khôi phục tài khoản đến vào 1:39 chiều thứ Bảy, và được xử lý với mốc bắt đầu chuyển sau 3 phút, hoàn tất sau 4 phút
  • Bên bị hại đã thực hiện 32 cuộc gọi, 9,6 giờ đàm thoại và gửi 17 email nhưng không nhận được cuộc gọi lại nào

Phản ứng của GoDaddy và xử lý tranh chấp

  • Trong lần liên hệ đầu tiên, GoDaddy xác nhận tên miền không còn trong tài khoản nữa, nhưng viện lý do quyền riêng tư để không cho biết nó đã được chuyển đi đâu
  • Mỗi lần liên hệ lại tạo ra một mã hồ sơ mới, khiến lịch sử trước đó không được nối tiếp và mọi quy trình escalation đều phải bắt đầu lại từ đầu
    • Trong bài có nêu các mã hồ sơ thực tế như 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012
  • Tranh chấp tên miền được nộp qua đường dẫn cas.godaddy.com/Form/TransferDispute, và phía yêu cầu đã nộp tên người đăng ký tên miền, bằng lái xe và tài liệu doanh nghiệp
    • Mỗi lần nộp, thời gian phản hồi dự kiến lại được lặp lại là 48~72 giờ
  • Sau 4 ngày, GoDaddy chỉ gửi một email nói rằng “người đăng ký đã cung cấp các tài liệu cần thiết nên việc thay đổi tài khoản đã được tiến hành, và vụ việc đã kết thúc
    • Họ rốt cuộc vẫn không giải thích tài liệu nào đã được nộp
    • Hướng dẫn tiếp theo chỉ gồm các liên kết tới tra cứu WHOIS, nhà cung cấp trọng tài ICANNtrang liên quan đến việc thuê luật sư

Gián đoạn vận hành và công việc khôi phục tạm thời

  • Sau khi GoDaddy thông báo khép lại vụ việc, tổ chức bị hại bắt đầu chuyển khẩn cấp sang một tên miền mới
    • Họ làm việc xuyên đêm để chuyển sang địa chỉ email mới và địa chỉ website mới
  • Vì không thể kiểm soát tên miền cũ, vấn đề lan rộng thành tổn hại với toàn bộ địa chỉ email, tài liệu marketingtài sản SEO tích lũy
    • Email gửi tới địa chỉ cũ buộc phải bị trả lại
    • Tên miền cũ còn tồn tại trên ấn phẩm in và tài liệu bên ngoài đều trở thành thông tin sai
  • Sau khi tên miền gốc được trả lại, họ lại phải chuyển ngược email và website về tên miền cũ để hoàn tác công việc đã làm từ ngày hôm trước

Nguyên nhân thực tế và đường khôi phục

  • Sáng hôm sau, một người khác sống cách trụ sở tổ chức bị hại 2.000 dặm phát hiện trong tài khoản GoDaddy của mình xuất hiện một tên miền không liên quan
    • Người này đang cố lấy lại một tên miền khác từng do một nhân viên cũ sử dụng
  • Khi phối hợp với người đó để thực hiện chuyển giữa các tài khoản của GoDaddy, tên miền đã quay về tài khoản ban đầu trong chưa đầy 5 phút, và DNS cũng ngay lập tức bắt đầu được khôi phục
  • Việc giải quyết thực tế không đến từ đội hỗ trợ GoDaddy, đội tranh chấp hay đội Office of the CEO, mà do người nhận nhầm tên miền tự nhận ra vấn đề rồi chủ động liên hệ

Chuyển giao được phê duyệt mà không có tài liệu

  • Bên nhận nhầm tên miền là một chi nhánh địa phương trong cùng mạng lưới và đã yêu cầu GoDaddy khôi phục một tên miền khác từ 2 tuần trước
    • Tên miền được yêu cầu là HELPNETWORKLOCAL.ORG, còn tên miền thực sự bị chuyển đi lại là HELPNETWORKINC.ORG
  • Trong chữ ký email của người này có website tên miền con của HELPNETWORKINC.ORG, và có vẻ đội khôi phục của GoDaddy đã nhìn vào tên miền cấp cao nhất trong chữ ký rồi chuyển chính tên miền đó vào tài khoản
  • GoDaddy có gửi liên kết để tải lên tài liệu chứng minh, nhưng liên kết đó đã hết hạn trước khi được sử dụng
    • Sau khi yêu cầu liên kết mới, email phê duyệt chuyển tên miền lại đến trước cả khi liên kết mới được gửi
  • Kết quả là người này không nộp bất kỳ tài liệu nào, cả cho tên miền họ thực sự muốn lấy lại lẫn cho tên miền họ đã nhận nhầm
    • Dù vậy, GoDaddy vẫn chuyển tên miền của một tổ chức phi lợi nhuận tồn tại 27 năm sang tài khoản khác, rồi sau đó còn đóng luôn vụ tranh chấp

Tác động bảo mật

  • Bài viết nêu rằng nếu người nhận là kẻ xấu thì họ có thể thực hiện chiếm đoạt email, đặt lại mật khẩu, nhận mã MFA, lừa đảo phishing, phát tán mã độcthay đổi luồng thanh toán
  • Trong thời gian không biết tên miền đang ở đâu, tổ chức bị hại đã phải chuẩn bị yêu cầu mọi người dùng gỡ tên miền đã bị xâm phạm khỏi các tài khoản dịch vụ quan trọng
    • Các dịch vụ liên quan gồm ngân hàng, Amazon, IRS, hệ thống trả lương, Dropbox, tài khoản email và thậm chí cả tài khoản GoDaddy
  • Bản thân việc kiểu chuyển giao này được phê duyệt mà không cần tài liệu đã bộc lộ một vấn đề bảo mật nghiêm trọng

Vấn đề với kênh báo cáo bảo mật và các bước tiếp theo

  • Để gửi trực tiếp kết quả điều tra cho đội bảo mật GoDaddy trước khi đăng bài, họ đã gửi email tới security@godaddy.com nhưng bị trả lại
    • Phản hồi tự động nói rằng hộp thư đó không còn được giám sát nữa, đồng thời đề xuất thay thế bằng Abuse Reporting Formhttps://hackerone.com/godaddy-vdp
  • Báo cáo này cuối cùng được gửi qua HackerOne, và bài viết có nêu report #3696718
  • Việc kênh chính thức không hoạt động, trong khi chỉ những ai biết đường vòng mới tiếp cận được người phụ trách thực sự, đã lặp lại đúng mô thức như phản ứng với sự cố 4 ngày lần này
  • Các bước tiếp theo được yêu cầu theo nguyên văn là rất rõ ràng
    • Flagstream Technologies cần được một người phụ trách có danh tính rõ ràng liên hệ trực tiếp
    • Cần để lại địa chỉ email có thể phản hồi và số điện thoại, thay vì tài khoản email công cộng dùng chung
    • Cần rà soát nội bộ về quy trình xác minh chuyển giaolý do phê duyệt khi không có tài liệu

Hướng xử lý còn lại

  • Mối lo lớn hơn của bên bị hại là, chừng nào còn để tên miền tại GoDaddy thì không thấy có cách nào ngăn chặn kiểu đe dọa tương tự trong tương lai
  • Bài viết cho biết Flagstream nhiều khả năng sẽ chuyển toàn bộ tên miền của mình ra khỏi GoDaddy
  • Nếu bạn đang để tên miền tại GoDaddy, bạn nên tự kiểm tra mình sẽ ứng phó ra sao khi tên miền biến mất khỏi tài khoản và toàn bộ hoạt động kinh doanh bị đình trệ

Bài viết liên quan

2 bình luận

 
ndrgrd 13 ngày trước

Mỗi lần thấy những chuyện như thế này, tôi lại nghĩ không biết có khó không nếu thiết kế hệ thống theo hướng khiến việc lách luật hoặc thất bại là không thể xảy ra, ngay cả khi không cần phải đọc quá nhiều tài liệu.
 
GN⁺ 13 ngày trước
Ý kiến trên Hacker News

  • GoDaddy tai tiếng đến mức còn có hẳn một bài Wikipedia riêng
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • Tiền sử của GoDaddy quá tệ, chỉ cần gom các vụ cũ lại là đủ thấy bối cảnh
    Tháng 1/2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Tháng 1/2019: GoDaddy injecting JavaScript into websites and how to stop it
    Tháng 8/2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Tháng 12/2022: GoDaddy buying domains when they expire to extort their own users
    Tháng 7/2023: Godaddy just stole my domain
    Tháng 1/2024: Tell HN: GoDaddy Stole My Domain

    • Năm 2011 họ còn ủng hộ SOPA, và cuối cùng cũng chưa từng rút lại sự ủng hộ đó
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      Họ luôn tạo cảm giác là kiểu công ty chuộng phô trương hơn công nghệ, đội kỹ thuật thì cứ lĩnh lương cho xong nên trông chẳng mấy quan tâm đến khách hàng hay chất lượng, và hành động thực tế đúng là cho thấy như vậy
    • Tai tiếng đến mức có hẳn bài Wikipedia riêng, nhưng trong đó cũng như trong danh sách của bạn vẫn thiếu chuyện chặn cả cấp quốc gia
    • GoDaddy từng chặn nguyên cả quốc gia, và tôi nhớ có thời điểm lệnh chặn đó không chỉ áp lên website của họ mà còn cả dịch vụ DNS dành cho khách hàng
      Khi đó từ một số quốc gia nhất định, ngay cả website của chính khách hàng cũng có thể không truy cập được
      Giá thì đắt mà giá trị thì quá thấp, thật không hiểu sao còn dùng
    • Link chứng chỉ SSL đầu tiên năm 2017 là sai, link đúng là https://news.ycombinator.com/item?id=13377214
      Link hiện tại lại trỏ về chính thread này
    • Chỉ cần tìm các câu chuyện về GoDaddy trên Slashdot ngày xưa là đủ
      Từ thời tôi mới có chiếc máy tính đầu tiên, GoDaddy đã bị coi là NoDaddy rồi
      Hồi đầu đến giữa những năm 2000, một trong số rất ít lần tôi thấy lập trình viên công khai gọi thứ gì đó là kỳ thị phụ nữ chính là khi nói về gian hàng hội nghị của GoDaddy, và tôi vẫn còn nhớ điều đó

  • Lúc đầu nhìn khá giống do người trong cuộc làm
    Bên AWS cũng từng có vụ tôi đã cấu hình bảo mật đầy đủ mà tài khoản vẫn bị xâm nhập, sau đó mới lộ ra nguyên nhân là các nhà thầu nội bộ
    Trước đó AWS cứ đổ lỗi cho tôi mà không có căn cứ gì, chỉ đến khi tôi liên hệ văn phòng tổng chưởng lý bang thì họ mới bắt đầu điều tra và quản lý mới xử lý nghiêm túc

    • Đọc đoạn cuối bài sẽ thấy có giải thích
      Một khách hàng GoDaddy khác đã yêu cầu chuyển một domain có tên khá giống, và trong quá trình đó họ đã chuyển nhầm domain sai
    • Vụ này có vẻ không phải hành vi ác ý của người trong cuộc mà gần hơn với xử lý nội bộ kém năng lực
      Nhân viên hoàn toàn không tuân thủ quy trình, lại còn đọc email sai một cách vô lý nên chuyển nhầm sang domain khác
    • Cách diễn giải đó không hợp lý
      Sở dĩ cuối cùng có thể đảo ngược được là vì bên nhận domain đã trực tiếp báo cho bộ phận hỗ trợ GoDaddy rằng nó bị chuyển nhầm
      Tôi không hiểu làm sao có thể xem đó là một màn dàn dựng từ nội bộ
    • Nếu đọc kỹ bài, domain được chuyển sang cho một người ở chi nhánh địa phương của cùng tổ chức, người đó nhận ra tình hình rồi liên hệ chủ sở hữu ban đầu để giải quyết
      Xét theo bất kỳ nghĩa nào thì cũng không giống inside job
    • Nếu là người trong cuộc thì tại sao lại nhét nhầm domain vào tài khoản của một người lạ hoàn toàn không định dùng đến nó?
      Người nhận còn chủ động tìm cách trả lại cho chủ cũ, nên rất khó coi đây là một vụ chiếm đoạt có chủ đích

  • Bài viết nhắc đến ba điểm là toàn bộ địa chỉ email mất hiệu lực, mọi tài liệu marketing đều sai, và mất SEO, nhưng theo tôi vẫn còn thiếu điều nghiêm trọng hơn
    Mất domain là lập tức rơi vào tình trạng bị khóa khỏi mọi tài khoản online đang nhận mã xác minh đăng nhập bất thường qua email
    Từ ngân hàng, CRM đến đủ loại dịch vụ kinh doanh đều có thể lần lượt bị khóa

    • Đúng vậy, 2FA qua email vốn đã rủi ro rồi, cộng thêm sự kém cỏi của registrar thì còn đáng sợ hơn
    • Vài năm trước, việc gắn mọi thứ vào email theo domain riêng từng có vẻ là phương án tốt nhất
      Chỉ cần mình sở hữu domain thì có thể host ở bất cứ đâu nên nghe rất lý tưởng
      Nhưng nghĩ đến kiểu kịch bản thảm họa như thế này thì rốt cuộc tôi vẫn phải giữ lại Gmail
      May là ở EU người ta vẫn khá coi trọng việc xác minh chủ sở hữu thực tế, nên dù có lỗi kiểu này thì khả năng cao vài giờ là gỡ được
    • Hiệu ứng dây chuyền lớn đến mức khó mà hình dung nổi
      Nếu mọi thứ đều gắn với email đó thì còn nghiêm trọng hơn cả mất điện thoại hay SIM, giống cảnh ở nước ngoài không dùng được số điện thoại nhưng còn tệ hơn
    • Đây đúng là điểm cốt lõi mà tôi chưa nghĩ tới
    • Nếu đây là một vụ chiếm đoạt có chủ đích, cơ hội lừa đảo sẽ cực kỳ lớn
      Vì email và mọi liên lạc đều đổ về cùng domain đó, kẻ giả mạo có thể tiếp tục trả lời thư như thể chưa hề có chuyện gì xảy ra
      Điều đáng sợ hơn là, ví dụ GoDaddy lỡ chuyển giao thứ như npmjs.com, thì người ta gần như có thể thành crypto billionaire chỉ sau một đêm

  • Tôi nghĩ nên đăng ký nhãn hiệu cho domain
    Chỉ tốn vài trăm đô, có thể làm online, và như vậy quyền của bạn sẽ mạnh hơn rất nhiều trước ICANN, kẻ cướp domain, typosquatter, registrar hay thậm chí tại tòa
    Bạn có thể gửi thư cảnh cáo mạnh từ luật sư, bỏ qua tầng hỗ trợ khách hàng và đẩy vụ việc nhanh sang hướng pháp lý
    ANIMATS®

    • Cấu trúc này thật tệ hại
      Trả thêm tiền thì khả năng tự vệ cho quyền sở hữu cũng tăng theo
    • Tôi điều hành một registrar domain
      Theo ý kiến cá nhân, tốt hơn là đừng lôi nhãn hiệu vào những tranh chấp kiểu này
      Ngay khi bạn nêu yêu cầu dựa trên nhãn hiệu, domain thường sẽ bị khóa để ngăn thay đổi, và bạn sẽ được hướng dẫn nộp UDRP
      Có thể phải mất vài tháng mới có phán quyết
      Thư cảnh cáo từ luật sư cũng tương tự, trừ vài trường hợp rất hạn chế thì chúng tôi không có nghĩa vụ phải tốn chi phí pháp lý để trả lời
      Nhưng khi bạn yêu cầu một cách xử lý cụ thể dựa trên quyền pháp lý, rốt cuộc bên kia cũng chỉ có thể trả lời là hãy đưa ra tòa án có thẩm quyền hoặc theo quy trình chính thức
    • Tôi tò mò là có thể đăng ký nhãn hiệu online ở đâu
      Ở Canada về cơ bản vẫn phải thuê luật sư, và khi tồn đọng nặng sau COVID thì có lúc phải đợi 4 năm mới đăng ký xong
      Nếu có thể đăng ký online đơn giản thì thật tuyệt
    • Có nhãn hiệu rồi đôi khi vẫn chẳng có nhiều tác dụng
      Trường hợp của tôi là có nhãn hiệu đã đăng ký tại Mỹ, lại còn có trước về mặt thời gian, thế mà Facebook vẫn khóa website của tôi

  • Không chỉ 10 năm trước mà ngay cả bây giờ tôi vẫn không hiểu vì sao người ta còn dùng GoDaddy

    • Dù sao đây vẫn là registrar lớn nhất thế giới, và bỏ xa phần còn lại
      Với doanh nghiệp, chiến lược chọn nhà cung cấp nổi tiếng nhất thường khá hiệu quả, vì người ta kỳ vọng họ phải có sẵn quy trình để xử lý đủ loại tình huống
      Bởi vậy vụ này càng thấy nghiêm trọng hơn
      Domain lại là lĩnh vực rất lạ: cực kỳ quan trọng với doanh nghiệp nhưng doanh thu trên mỗi khách hàng thì hầu như chẳng đáng bao nhiêu
      Cả hạ tầng đều phụ thuộc vào nó mà mỗi năm chỉ khoảng 15 đô, nên chỉ cần một yêu cầu hỗ trợ thôi là khách gần như đã không còn sinh lời
    • Phần lớn người mua domain ngày nay là người dùng không chuyên kỹ thuật, và thật ra tình trạng này đã kéo dài từ lâu rồi
      Nếu hỏi 100 người mua domain ở đâu, khả năng rất cao GoDaddy sẽ đứng số 1 áp đảo
      Chuyện tai tiếng thương hiệu hay sự cố bảo mật thì đa số có lẽ họ cũng không biết
    • Đúng vậy
      Tôi thấy hơi buồn cười khi đọc cụm nhân sự IT có năng lực
      Gần như tôi chưa từng nghe điều gì tốt đẹp về GoDaddy
    • Nhiều doanh nghiệp lớn dùng GoDaddy hơn bạn nghĩ
      Và hỗ trợ managed hosting của họ thật ra lại khá ổn
      Tôi không thích dịch vụ của họ, nhưng có vài khách hàng của tôi đang dùng, và mỗi lần có sự cố máy chủ thì hỗ trợ xử lý rất nhanh, tiện hơn nhiều so với việc tôi tự lao vào
      Ít nhất cho đến giờ vẫn là hỗ trợ nội địa chứ không phải thuê ngoài ở nước ngoài
    • Việc đăng ký domain thường diễn ra ở giai đoạn rất sớm của doanh nghiệp, thậm chí có thể là hành động cụ thể đầu tiên của nhà sáng lập
      Nếu là nhà sáng lập không chuyên kỹ thuật thì họ chỉ đơn giản lên Google tìm buy a domain rồi chọn chỗ hiện ra đầu tiên
      Sau này khi hệ thống IT trưởng thành hơn thì nên chuyển sang nhà cung cấp tốt hơn, nhưng domain thường được đăng ký nhiều năm kèm tự động gia hạn, và nếu mọi thứ đang chạy ổn thì các rủi ro mang tính lý thuyết sẽ luôn xếp sau công việc trước mắt

  • Nói thật thì, năng lực và việc để domain khách hàng ở GoDaddy nghe khá không ăn khớp với nhau

    • Nhiều người còn trói cả DNS lẫn dịch vụ phụ trợ vào cùng một registrar
      Đó là sai lầm, nhưng lại là mẫu hành vi rất phổ biến
      Khi mọi thứ đang chạy tốt, sẽ không dễ gì thuyết phục một khách hàng chưa từng gặp vấn đề rằng nên chuyển cả DNS, hosting và email đi nơi khác
    • Nghe hơi mỉa mai thật, nhưng có thời GoDaddy từng là lựa chọn giá rẻ, rồi người ta cứ thế dùng tiếp
      Sau khi Google Domains bị chuyển giao, tôi cũng dùng Squarespace khá nhiều, vì giá hợp lý và quan trọng hơn là nó đã đang chạy
      Có thể tồn tại công cụ tốt hơn, nhưng migration tốn thời gian, có rủi ro gián đoạn cho khách và cũng gây stress
      Không phải vì tôi không dựng được VPS, mà vì rất khó biện minh cho việc bỏ ra vài tiếng không được trả công để làm chuyện đó
      Ở đây có thể cũng là tình huống tương tự, và dù Lee có cực kỳ giỏi thì foot gun đã nằm đó im lặng quá lâu rồi mới phát nổ
      Không lý tưởng, nhưng ngoài đời hoàn toàn có thể xảy ra, và ít nhất vụ này giúp tôi càng rõ hơn những công ty mình sẽ tránh trong tương lai
    • Ngay cả khi nhìn vào mọi lựa chọn thay thế được đề xuất ở đây, cũng không thể đảm bảo rằng trong 5 năm tới họ sẽ không enshittification, không bị bán cho PE kiểu bóc lột, không thay hỗ trợ bằng AI, hoặc không cắt 40% nhân sự
      27 năm là quãng thời gian rất dài
      Một nhân sự IT giỏi có thể lập kế hoạch dự phòng cho các sự cố có thể dự đoán, nhưng không thể kiểm soát được sai lầm ở cấp registrar
      Ngay cả những công ty như MarkMonitor, tự quảng bá là bulletproof domains, cũng từng gây ra sự cố lớn
      Và việc bảo người ta đăng ký domain mới ở X thì dễ, nhưng bảo họ kéo một domain cũ ra khỏi Y thì khó hơn nhiều
    • Vậy thì nên để domain ở đâu mới tốt?
    • Tôi không hiểu tại sao lại nói là không ăn khớp
      GoDaddy dù sao cũng là registrar chính thức, và khách hàng còn bật cả MFA hai lớp
      Khách hàng đã làm mọi thứ họ có thể làm rồi
      Tôi từng nghe chuyện GoDaddy mắc những lỗi kỳ quặc, nhưng mức chuyển nhầm lố bịch thế này thì lần đầu mới thấy
      Đổ lỗi cho nạn nhân trong trường hợp này chẳng khác gì bảo vì không khóa cửa nên bị trộm cũng là tự chịu
      Người phá vỡ quy tắc là GoDaddy, còn khách hàng trả tiền chính là để được kỳ vọng rằng các quy tắc đó sẽ được tuân thủ
      Một khi đã nghiêng sang hướng đổ lỗi cho nạn nhân thì thường là đang đứng về phía sai

  • Việc chuyển nhầm domain tự nó đã là vô năng rồi, mà còn xử lý như thế không cần lấy nổi một giấy tờ cần thiết nào thì rõ ràng là cẩu thả nghiêm trọng
    Nghiêm trọng ở nhiều tầng mức khác nhau

    • Điều còn tệ hơn là khi chủ sở hữu ban đầu mở ticket, họ vẫn không thừa nhận sai lầm hay sửa ngay
    • Nghĩ đến hệ quả dây chuyền mà kiểu chuyển giao này có thể gây ra thì thật sự rùng mình

  • Vì vậy tôi thích những registrar có trách nhiệm như porkbun hơn, dù quy mô không quá lớn
    Từ sau khi từng mất domain ở một registrar kiểu “cheap name” thì tôi càng nghĩ vậy
    Chỉ là trải nghiệm cá nhân, tôi không có lợi ích liên quan gì với hai bên được nhắc tới

  • GoDaddy từ lâu đã tự chứng minh mình là một công ty mục ruỗng
    Nếu khách không trả tiền đúng hạn, họ giữ luôn domain đó rồi đội giá lên rất cao để đem đấu giá lại, và đó chỉ là một trong rất nhiều việc tồi tệ họ từng làm
    Domain chính của tôi đến giờ vẫn nằm ở nic.ddn.mil / rs.internic.net, tức phía Network Solutions ngày nay
    Ngày xưa ít nhất họ còn có đạo đức kiểu mỗi địa điểm vật lý chỉ cấp một domain để dành cho thế hệ tương lai, nhưng chỉ cần một công ty dược định mua một lúc chừng 90 cái là đạo đức đó biến mất ngay
    Dù vậy, ngay cả quy trình cũ kỹ đó, thứ đã có nguồn thu hàng chục năm mà vẫn không cải thiện nổi, vẫn cho tôi cảm giác đáng tin hơn GoDaddy
    Trong giới biết chuyện thì GoDaddy từ lâu đã là trò đùa mà ai cũng rõ