GoDaddy aurait transféré un nom de domaine sans l’autorisation de son titulaire de longue date, transférant le nom de domaine sans l’autorisation appropriée et la documentation requise. La victime a passé près de dix heures avec le service client pour recevoir la réponse indiquant que GoDaddy ne pouvait rien faire pour résoudre le problème.
Le transfert de domaine a eu lieu un samedi
Il est intéressant de noter que le transfert de domaine malveillant a eu lieu un samedi, ce qui pourrait être un détail important car certains bureaux d’enregistrement de domaines externalisent leur service client le week-end et j’ai entendu parler d’autres occasions où des erreurs se sont produites en raison d’un contrôle qualité moindre. Je connais un cas où des noms de domaine de grande valeur valant six à sept chiffres ont été volés un week-end où un attaquant a pu manipuler le service client du week-end pour modifier l’adresse e-mail du compte, permettant au voleur de transférer tous les domaines à un ou deux mots vers un autre compte.
Ce qui s’est passé avec ce domaine spécifique n’était pas un cas de vol mais quelque chose de pire. Un employé du service client du week-end a commis une erreur en traitant un changement de nom de domaine légitime par un autre client GoDaddy et, au lieu d’initier le changement sur le bon domaine, il a transféré le domaine de la victime.
Pour aggraver l’erreur, le service client du week-end de GoDaddy n’a pas suivi son propre protocole pour empêcher les transferts non autorisés, permettant ainsi au domaine d’être transféré à quelqu’un d’autre.
32 appels et près de 10 heures d’appels téléphoniques
Le processus visant à amener GoDaddy à annuler son erreur était un cauchemar bureaucratique. Ils ont passé trente-deux appels téléphoniques et ont passé 9,6 heures au téléphone à parler au service client de GoDaddy.
« Lee a appelé GoDaddy dimanche. Ils ont confirmé que le domaine n’était plus dans son compte mais ne pouvaient pas dire où il était allé pour des raisons de confidentialité. Ils lui ont dit d’envoyer un e-mail à undo@godaddy.com. Il l’a fait, mais n’a reçu aucune réponse en envoyant un e-mail à cette adresse. Bien sûr, Lee ne pensait pas vraiment que c’était le niveau d’urgence approprié pour ce problème. Il a demandé un superviseur qui était encore moins utile. Lee n’était pas content. Il a peut-être dit des choses blessantes au personnel d’assistance de GoDaddy. lors de cet appel. Ce premier appel a duré 2 heures, 33 minutes et 14 secondes.
Lundi matin, Lee et un collègue ont commencé à travailler sérieusement sur ce problème car il n’y avait toujours aucune mise à jour de GoDaddy. L’appel a donné lieu à un autre agent qui a dit à Lee d’envoyer un e-mail à transferdisputes@godaddy.com à la place. Mardi, l’adresse avait de nouveau changé pour artreview@godaddy.com. Les instructions changeaient de jour en jour. Il semblait que chaque membre du support technique de GoDaddy avait une recommandation légèrement différente.
L’erreur était aggravée par le fait que chaque fois que la victime appelait GoDaddy, l’appel générait un nouveau numéro de dossier sans qu’aucun des numéros de dossier ne soit lié aux précédents.
Réponse de GoDaddy
Après quatre jours passés à essayer de joindre quelqu’un chez GoDaddy pour résoudre le problème, GoDaddy a finalement répondu avec la résolution suivante :
« Après avoir enquêté sur le(s) nom(s) de domaine en question, nous avons déterminé que le titulaire du(des) nom(s) de domaine a fourni la documentation nécessaire pour initier un changement de compte. … GoDaddy considère désormais cette affaire close. »
La réponse de GoDaddy contenait des liens sur la manière de contester un changement de nom de domaine auprès de l’ICAAN, l’organisation mondiale qui gère le système de noms de domaine, des instructions sur la façon de rechercher les informations d’enregistrement du nom de domaine et une page d’assistance client pour contacter la représentation légale.
C’est ça.
Erreur corrigée, mais pas par GoDaddy
La personne qui a écrit sur le problème a déclaré avoir contacté un ami au sein de GoDaddy qui a ensuite pu régler le problème correctement. En fin de compte, l’erreur n’a pas été corrigée par GoDaddy mais par la personne innocente qui a découvert le nom de domaine de quelqu’un d’autre dans son compte GoDaddy.
Comme indiqué précédemment, tout le fiasco a commencé par une erreur de la part de GoDaddy concernant une demande légitime de changement de domaine. GoDaddy a remplacé le nom de domaine par le nom de domaine de la victime. La personne qui s’est retrouvée avec le nom de domaine de la victime dans son compte a contacté la victime et ensemble, ils ont entamé le processus de transfert du domaine au titulaire légitime.
La propriété du nom de domaine est inexistante
Une erreur courante commise par de nombreux développeurs et propriétaires d’entreprise est de croire qu’ils possèdent un nom de domaine. C’est faux, personne ne possède de nom de domaine. Les noms de domaine sont enregistrés mais ne sont jamais détenus. L’enregistrement donne au titulaire le droit d’utiliser le nom de domaine, mais il n’en est jamais réellement propriétaire. C’est ainsi que fonctionne le système de noms de domaine et c’est en partie la raison pour laquelle ce problème s’est déroulé ainsi. Cependant, le problème dans ce cas était uniquement dû à une erreur de GoDaddy.
Le message qui détaille le cauchemar fait référence aux services de « protection de la propriété de domaine » de GoDaddy, mais ce n’est pas vraiment ainsi qu’il s’appelle. Il n’existe pas de protection de la propriété des noms de domaine.
Ce que GoDaddy vend est un service de protection de domaine qui protège contre les transferts non autorisés et l’expiration accidentelle. La victime a payé pour cette protection, mais comme l’erreur était due à la propre erreur de GoDaddy, la protection n’a rien fait pour la victime et le changement de domaine a été effectué sans la documentation appropriée.
Lisez le billet de blog expliquant comment GoDaddy a commis une erreur et non seulement n’a pas réussi à résoudre le problème, mais n’a même pas reconnu qu’il avait commis une erreur.
GoDaddy a donné un domaine à un inconnu sans aucune documentation
