GoDaddyは、有効な27年前のドメインの完全な管理権を別の顧客に譲渡したが、認証プロセスを通す必要もなく、支援資料のアップロードも要求しなかったという主張を現在調査中です。
このセンセーショナルな告発は、ペンシルベニア州のIT企業Flagstream TechnologiesのパートナーであるLee Landisから出ており、彼はクライアントのドメインの1つが会社のGoDaddyアカウントから予告なく「消失」したと主張しています。
Landisによると、これはクライアントがこの一連の出来事全体を通じてウェブサイトとメールアカウントへのアクセスを失ったことを意味しています。これのセキュリティ上の影響には、アカウント復旧メカニズムへのアクセス喪失の可能性、MFAコード、企業なりすまし、ビジネスメール侵害(BEC)スキーム、およびその他あらゆる可能性が含まれます。
クライアントは匿名のままでいたいと希望していましたが、アメリカの非営利団体で全国に20の拠点を運営していると説明されています。
Anchor Hostingの所有者であり、Landisの友人であるAustin Ginderが書いたレポートによると、ドメイン乗っ取りプロセスの承認にはわずか4分しかかかりませんでした。しかし、これはLandisのクライアントに4日間のダウンタイムをもたらし、その間、スタッフは個人のメールアドレスとSMSメッセージを使用してステークホルダーに進捗を知らせることに頼っており、翌日には多くの募金活動イベントが予定されていました。
「Leeは私が知っている最も有能なITの人の一人です」とGinderは書きました。「GoDaddyアカウントは二要素認証が有効になっており、ログインにはメールコードと認証アプリコードの両方が必要でした。ドメイン自体には所有権保護が有効になっていました。」
ログによると、GoDaddyはアカウント復旧リクエストが行われたことをメール経由でFlagstreamに確認しました。3分後、転送が開始され、その1分後に完了しました。これはすべて4月18日土曜日の昼食時ころに行われました。
監査ログによると、転送は「内部ユーザー」によってのみ開始され、認証方法のいずれも完了することは要求されませんでした。Ginderは転送がGoDaddy内の「内部ユーザー」によって行われたことを示唆しているようでした。
Landisの最初のGoDaddyへの電話は翌日から始まりました。サポートスタッフは役に立たず、彼が必要だと考えていた緊急性に欠けていたと主張されています。
その後の日々にわたって、合計9時間以上続いた32回の電話通話の中で、GoDaddyサポートはLandisが解決策を求めることができると述べたさまざまなメールアドレスを提示しました。彼は、ホスティングプロバイダーの誰が電話に出たかによって指示が異なったと主張しています。
Landisによると、17回のメール会話はすべて名前のある個人ではなく、単なる一般的なアドレス名とのものでした。彼は複数回、なぜこのケースがそんなに緊急だと思ったのかを尋ねられたと付け加えており、これらのメール交換のいずれからもコールバックを受けたことはありませんでした。
Landisは「GoDaddyのサポート担当者に傷つけるようなことを言ったかもしれません」とGinderは書きました。
膨大な仕事と幸運な偶然
転送が完了した4日後の翌火曜日、GoDaddyは何の行動も取らずにケースを閉じたとされています。
Flagstreamに送られた声明の中で、GoDaddyは次のように述べています:「問題のドメイン名を調査した結果、ドメイン名の登録者がアカウント変更を開始するために必要な資料を提供したと判断しました…GoDaddyはこの問題を終了したと考えています。」
ここでの問題は、Flagstreamとドメインの所有権を受け取った女性の両方によると、資料が一切提供されなかったということです。Ginderは彼女をSusanと呼んでいますが、それは彼女の本当の名前ではありません。
GoDaddyはこの主張を否定しています。
Flagstreamがこの巨大な混乱をクリーンアップする必要が生じるまでの間、Susanは前従業員に登録されていた古いドメインを取り戻そうとしていました。
やはり、非営利団体が匿名のままでいたいという理由で詳細が変更されましたが、ストーリーテリングの目的のため、以下の2つのドメインを例として使用します:
HELPNETWORKINC.ORG(Flagstreamのクライアント)HELPNETWORKLOCAL.ORG(Susanが回収するドメイン)
この転送がどのようにして失敗したかを理解するためのもう1つの重要な詳細は、Susanのメール署名がHELPNETWORKINC.ORGのサブドメイン上の彼女の支部のウェブサイトを参照していたということです。Ginderは、GoDaddyスタッフが署名を見て、誤ってその親ドメインをSusanに転送してしまい、意図されたドメインではなかったと述べています。
Susanは、サポート資料をアップロードするためのリンクを受け取ったが、使用する前にリンクが期限切れになったとFlagstreamに述べました。これが事実であれば、提出された資料が所有権譲渡の承認決定に情報を与えたというFlagstreamへの声明において、GoDaddyが正確ではなかったことを意味するでしょう。
これらすべてが行われている間、Landisとより広いFlagstreamチームは、クライアントを新しいドメインと新しいメールアドレスに転送するために急いで作業していました。これは困難で、ブランドに害をもたらすタスクでしたが、非営利団体を事業に戻すために必要なものでした。
「それは非常にストレスが多かったです」とLandisはThe Registerに語りました。「複数のメンバーが夜間を含めて常にこれに取り組んでいました。さらに、ウェブサイトをホストしていた企業も、私たちが新しいドメインをセットアップすることに決めたときに、私たち以外に多くの作業を行う必要がありました。」
しかし幸運なことに、Susanが間違ったドメインを所有していることに気付いた後、彼女は非常に協力的でした。
Susanは最初に非営利団体のCFOに電話をかけ、彼女が何を見ているのかわからないと述べましたが、誰かに伝える必要があることを知っていました。そこから、Susanはドメインの所有権のアカウント間転送を開始するためにFlagstreamと協力しました。Ginderによると、このプロセスは5分未満で完了し、GoDaddyのサポートや監視なしで行われました。
「Susanはこのストーリー全体の本当の英雄です」とGinderは書きました。「彼女がいなかったら、Flagstreamはこのドメインに何が起こったのか今でもわからないままだったでしょう。弁護士が関わっていたでしょうが、おそらく何かが解決されるまでに数ヶ月かかっていたでしょう。」
非営利団体を新しいドメインに移行してからアクセスを取り戻した後に戻す間、より広いFlagstreamチームは、裁判所を通じてドメインを回復するための選択肢を議論するために弁護士に連絡していました。
LandisはThe Registerに、このルートが機能したであろうと確信していたが、数ヶ月かかる可能性があり、そのようなダウンタイムはあらゆる組織にとって単に受け入れられないと述べました。
Flagstreamは、将来同様の状況に直面する必要があるときにチームが自分自身を準備できるようにするために、まだ弁護士と協議中です。
セキュリティの悪夢
Susanがgodaddyのエラーを逆転させるのに役立つことは幸運な偶然だっただけでなく、彼女は新しく獲得したアクセスで一連の攻撃を実行できた悪意のある意図を持つ人ではありませんでした。フィッシングとBECはより影響的な可能性の2つであり、27年分のデータ盗難の機会は言うまでもありません。
Landisは、このエピソード全体を通じて、主な懸念はクライアントのドメインが状況を悪用できる誰かの管理下にあったことだと述べました。
「私たちの大きな懸念は、悪意のある者がこのドメインを持っていたことです。なぜなら、それは巨大なセキュリティリスクだったからです。ドメインの管理をもはやしていないため、彼らが悪意のある者であった場合、この個人を止めるためにできることはありませんでした。」
GoDaddyのサポートを管理しながら、Flagstreamは転送後に予想される攻撃を軽減する方法についてクライアントと協力しました。これには、銀行と給与からAmazonとDropboxまでのすべてのアカウントから会社のメールアドレスを切断することが含まれています。
Landisは、執筆時点で、GoDaddyはまだ彼またはFlagstreamに連絡して問題に対処していないと述べました。また、メール経由でGoDaddyのセキュリティチームに問題を報告しようとしたとき、メールが返送されました。
Flagstreamがgodaddyを続けるかどうかを尋ねられて、Landisはそのプロバイダーはオプションを評価していると述べました。
「ほぼ確実に、他のドメインが消失するリスクを負担できないため、私たちは去ることになるでしょう。数百のドメインを転送するのは大変ですが、先週起こったことより大変ではありません。」
恐れだけが残る
The Registerは、GoDaddyのドメイン転送の影響を受けた非営利団体と匿名を条件に話しました。
CEOは、技術的には運営は完全に通常通りであると述べましたが、一部のスタッフは間違ったボタンをクリックして4月のIT災害の繰り返しを引き起こすことを恐れています。
「私たちのスタッフの多くがいます – 多くのソーシャルワーカーがいて、彼らの何人かはおそらく私たちの行政チームほど技術に精通していません – 彼らは何かに触れることについて恐れるようになっていました」とCEOはThe Registerに述べました。
「つまり、今朝でさえ、すべてが戻ってくるにつれて問題が発生しており、人々は彼らのOneDriveに再度ログインする必要があり、これらすべての小さな詳細がありますが、これが私の1日から余分な時間を奪っているにもかかわらず、少なくともドメインを回復したことがわかったという安心感があります。」
The RegisterはGoDaddyに対応を求めるために連絡しました。同社はリクエストを認め、調査中であると述べました。
同社はストーリーを否定しませんでしたが、必要な資料と承認なしに転送を承認したという主張に異議を唱えました。
「特定の顧客アカウントについてはコメントできませんが、プロトコルを確認した結果、適切な資料と承認を受け取り、標準的な運用手順に従ったことが確認されました」とGoDaddyのスポークスパーソンは述べました。
「しかし、私たちはこの機会を利用して、ダウンストリームの問題を引き起こす前に、顧客と代表者の間の誤解を早期に特定するのに役立つプロセスを強化しています。」®
