域名被偷走？|GoDaddy漏洞驚人

延伸閱讀

• SoftBank砸75億美元撐腰：Exol用機器人物流即服務顛覆美國倉儲業，亞特蘭大首站年發百萬棧板
• 六成員工看不出AI錯誤：「認知投降」正在侵蝕企業的判斷能力
• Samsara實證物理AI威力：車隊成本削31%、事故少一半

域名被偷走？|GoDaddy漏洞驚人

「你的網域名稱，真的是你的嗎？」

上週，一篇在 Hacker News 上飆升到 415 分的貼文，揭露了全球最大域名註冊商 GoDaddy 的驚人安全漏洞：一名用戶在完全沒有合法授權文件的情況下，成功將別人的域名轉移到了自己名下。

這不是駭客攻擊，不是密碼被盜，而是 GoDaddy 內部流程的全面潰堤。

這起事件不僅重創 GoDaddy 的信譽，更給所有依賴第三方域名服務的企業敲響警鐘：你的數位資產，或許比你想像的更脆弱。

本文將深入分析事件始末、GoDaddy 的系統性漏洞，以及企業該如何自保。

事件還原：一封郵件，域名就沒了

根據受害者在 HN 上的詳細描述，整個事件的過程令人震驚：

1. 陌生人提交轉移請求：一名自稱是該域名「授權聯絡人」的陌生人，向 GoDaddy 提交了域名轉移申請。
2. GoDaddy 要求「驗證」：GoDaddy 的系統自動發出一封驗證郵件，要求對方提供「授權文件」來證明身份。
3. 對方回傳「文件」：陌生人回傳了一份文件——但那份文件上，連受害者的簽名都沒有，只有一個模糊的公司印章。
4. GoDaddy 核准轉移：最離譜的環節來了。GoDaddy 的內部審核人員，在沒有任何電話確認、沒有向域名註冊人發送安全通知的情況下，直接核准了轉移請求。
5. 域名易主：數小時後，受害者發現自己的域名管理權限被完全移除，網站、郵件全部停擺。

整個過程，從發起到完成，不到 48 小時。

受害者強調：「我沒有收到任何來自 GoDaddy 的電話、簡訊或安全郵件，通知我有人正在轉移我的域名。他們唯一寄給我的，是轉移完成後的『確認信』。」

這意味著，當受害者發現問題時，域名早已不在自己手中。

為什麼 GoDaddy 的流程會崩潰？

這起事件暴露了 GoDaddy 在安全流程上的三個致命缺陷：

缺陷一：驗證機制形同虛設

GoDaddy 聲稱會「審查授權文件」，但實際操作中，審查人員似乎只看「有沒有文件」，而不看「文件是否有效」。

在本次事件中，對方提供的文件連基本簽名都沒有，卻能過關。這說明 GoDaddy 的內部審核標準要麼極度寬鬆，要麼審核人員根本沒有接受過足夠的訓練。

缺陷二：缺乏多因子驗證 (MFA)

對於域名轉移這種高風險操作，業界標準做法是：必須通過註冊人信箱、電話 SMS，甚至是硬體金鑰進行多重確認。

但 GoDaddy 的流程中，完全沒有任何與域名原持有人確認的環節。只要陌生人能提供一份看起來「像樣」的文件，系統就放行。

缺陷三：通知機制落後

真正的安全系統，應該在有人提出轉移請求的「第一時間」就通知域名持有人，而不是在轉移完成後才發「事後通知」。

GoDaddy 的反向做法，等於讓持有人完全沒有反應時間。

這對企業意味著什麼？

對於任何擁有網站的企業來說，這起事件有幾個重要的教訓：

1. 域名不是你的資產，只是你租來的

很多人誤以為「我買了域名，它就是我的」。但實際上，你只是向註冊商「租用」了這個名稱，真正的所有權，掌握在註冊商的資料庫裡。

如果註冊商的安全流程有漏洞，你的「資產」隨時可能被別人轉走。

2. 單點故障的風險

域名是企業的數位門牌。一旦域名被盜，你的網站、郵件、甚至品牌信譽，都會瞬間歸零。

更可怕的是，攻擊者可以利用你的域名發送釣魚郵件、架設假網站，進一步傷害你的客戶。

3. 信任外包的風險

許多中小企業為了省事，將域名管理完全委託給 GoDaddy 這類大型註冊商。但這起事件證明，規模大不等於安全。

GoDaddy 作為全球最大的域名註冊商之一，尚且發生這種低級錯誤，其他小型註冊商的狀況只會更糟。

企業該如何自保？

面對這種系統性風險，企業可以採取以下措施：

立即行動：啟用域名鎖定 (Domain Lock)

大多數域名註冊商都提供「域名鎖定」功能。啟用後，任何轉移或修改操作都必須先解鎖，而解鎖通常需要多重驗證。

進階防護：使用專用註冊商

如果你的域名對業務至關重要（例如電商網站、金融服務），建議使用專門的企業級域名管理服務，例如 Cloudflare Registrar 或 MarkMonitor。

這些服務商通常提供更嚴格的轉移審查機制，以及更即時的安全通知。

終極方案：自管 DNS

對於技術能力較強的企業，可以考慮將 DNS 管理與域名註冊分離。也就是說，用 GoDaddy 註冊域名，但用 AWS Route 53 或 Cloudflare 來管理 DNS 紀錄。

這樣即使註冊商出問題，你的 DNS 設定也不會受影響，網站仍可正常運作。

定期審查：檢查授權聯絡人

許多企業在註冊域名時，隨手填寫了管理員的個人信箱作為授權聯絡人。如果這位管理員離職了，這個信箱就可能變成無人管理的「死信箱」。

定期檢查並更新授權聯絡人資訊，確保轉移通知能送達正確的人。

結語：信任的裂痕

GoDaddy 這起事件，不是單一案例，而是整個域名管理產業安全意識不足的縮影。

當我們把價值數百萬、甚至數千萬的數位資產，交給一個連基本文件審查都做不好的平台時，我們需要重新思考：我們是否過度信任了這些中間商？

對於企業決策者來說，這是一個明確的信號：不要把你的數位命脈，完全交給別人。

立即檢查你的域名安全設定，啟用所有可用的保護措施。因為當你的域名被偷走時，後悔已經來不及了。

這起事件也提醒我們，AI 時代雖然帶來了效率與便利，但人類的判斷力與安全意識，依然是數位世界最脆弱的環節。

GoDaddy 的審核人員，可能只是看了一眼文件，就按下了「核准」按鈕。這一個按鍵，卻可能毀掉一家公司多年的努力。

你的域名，今天安全嗎？