Nguồn: Hacker News
Tóm tắt
Anchor Web Services, một công ty hosting website nhỏ, ghi lại sự cố nghiêm trọng: GoDaddy đã transfer domain keystonept.com của khách hàng sang một bên thứ ba không xác định vào ngày 15/1/2025 — mà không có bất kỳ sự đồng ý hay ký xác nhận nào từ chủ sở hữu.
Lỗ hổng quy trình của GoDaddy nằm ở chỗ email xác thực transfer được gửi đến địa chỉ trong WHOIS record ([email protected]) thay vì email tài khoản đăng nhập. Địa chỉ đó không tồn tại mailbox, email bị drop silently — và GoDaddy coi im lặng là đồng ý (“silence as consent”), tiến hành transfer domain.
Quá trình phục hồi domain kéo dài gần 1 tháng, qua nhiều vòng liên lạc giữa Anchor, GoDaddy, và Namecheap (registrar nhận domain). Doanh nghiệp khách hàng mất website và email suốt thời gian đó — tổn thất thực tế đáng kể cho một business nhỏ. Domain cuối cùng được phục hồi ngày 14/2/2025.
Sự cố này cho thấy lỗ hổng nghiêm trọng trong quy trình transfer domain: WHOIS email không phải lúc nào cũng là điểm liên lạc thực sự của chủ sở hữu. Registrar cần kiểm tra authorization qua email tài khoản, không phải WHOIS.