โดเมน GoDaddy ถูกย้ายให้คนอื่นโดยไม่มีเอกสารแม้แต่ชิ้นเดียว

 (anchor.host)
4 คะแนน โดย GN⁺ 3 일 전 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • โดเมนที่ใช้งานมา 27 ปี ถูกย้ายไปยังบัญชี GoDaddy อื่นโดยไม่มีการเตือนล่วงหน้า ทำให้ เว็บไซต์และอีเมล ที่เชื่อมโยงอยู่หยุดให้บริการนาน 4 วัน
  • แม้ในบัญชีจะเปิดใช้ การยืนยันตัวตนแบบ 2 ขั้นตอน และมีฟีเจอร์ปกป้องโดเมนอยู่แล้ว แต่ในบันทึกการตรวจสอบกลับระบุว่า Internal User ได้ดำเนินการ Transfer to Another GoDaddy Account และสถานะยังคงเป็น ไม่มีการตรวจสอบยืนยัน
  • ระหว่างกระบวนการรับเรื่องข้อพิพาท GoDaddy ได้แจ้งอีเมลหลาย адресและหมายเลขเคสใหม่ซ้ำไปมา และหลังจาก 4 วันก็ปิดเรื่องโดยแจ้งว่า ได้รับเอกสารที่จำเป็นแล้ว แต่ไม่ได้เปิดเผยว่าเป็นเอกสารอะไร
  • การกู้คืนจริงไม่ได้เกิดจากทีม GoDaddy แต่เกิดขึ้นเมื่อผู้ที่ได้รับโดเมนผิดบัญชีพบ โดเมนแปลกปลอม ในบัญชีของตนเองและช่วยประสานงานด้วยตัวเอง ทำให้โดเมนถูกย้ายกลับสู่บัญชีเดิมได้ในเวลา ไม่ถึง 5 นาที
  • การที่การโอนย้ายเช่นนี้ได้รับอนุมัติโดยไม่มีการส่งเอกสาร ได้เผยให้เห็นความเสี่ยงด้านความปลอดภัยที่อาจนำไปสู่ การดักอีเมล, การรีเซ็ตรหัสผ่าน และการเปลี่ยนเส้นทางการชำระเงิน พร้อมเพิ่มความกังวลว่าจะป้องกันภัยลักษณะเดียวกันนี้ได้ยากในอนาคต

ภาพรวมของเหตุการณ์

  • โดเมนที่ใช้งานมา 27 ปี ถูกย้ายออกจากบัญชี GoDaddy ไปยังบัญชี GoDaddy อื่นโดยไม่มีการเตือนล่วงหน้า ส่งผลให้ เว็บไซต์และอีเมล ขององค์กรดังกล่าวหยุดให้บริการนาน 4 วัน
    • บัญชีดังกล่าวเปิดใช้ การยืนยันตัวตนแบบ 2 ขั้นตอนซ้อนกัน และโดเมนก็ใช้ Full Domain Privacy and Protection ของ GoDaddy อยู่
    • ในบันทึกการตรวจสอบมีรายการ Transfer to Another GoDaddy Account โดยผู้ดำเนินการคือ Internal User และบันทึกเป็น Change Validated: No
  • ทันทีหลังการย้าย GoDaddy ได้ รีเซ็ต DNS zone กลับเป็นค่าเริ่มต้น ทำให้แม้ nameserver จะยังเหมือนเดิม แต่ zone file ว่างเปล่าและทั้งระบบก็ออฟไลน์ทั้งหมด
    • โดเมนดังกล่าวเป็นโดเมนหลักที่สาขา 20 แห่งทั่วสหรัฐฯ ใช้งานร่วมกัน และเว็บไซต์กับเมลของแต่ละสาขาต่างก็พึ่งพาซับโดเมนภายใต้โดเมนนี้
  • อีเมลคำขอกู้คืนบัญชีถูกส่งมาถึงเวลา 13:39 น. ของวันเสาร์ และถูกประมวลผลเป็น เริ่มโอนหลังจากนั้น 3 นาที และ เสร็จสิ้นในอีก 4 นาทีถัดมา
  • ฝั่งผู้เสียหายโทรไป 32 ครั้ง ใช้เวลาคุยรวม 9.6 ชั่วโมง และส่งอีเมล 17 ฉบับ แต่ ไม่เคยได้รับการโทรกลับแม้แต่ครั้งเดียว

การตอบสนองของ GoDaddy และการจัดการข้อพิพาท

  • ในการติดต่อครั้งแรก GoDaddy ยืนยันว่าโดเมนไม่ได้อยู่ในบัญชีแล้ว แต่ปฏิเสธจะบอกว่าถูกย้ายไปไหนโดยอ้างเหตุผลเรื่อง ข้อมูลส่วนบุคคล
    • ตอนแรกแนะนำให้ติดต่อ undo@godaddy.com แต่ไม่มีการตอบกลับ
    • ต่อมาจึงเปลี่ยนเป็น transferdisputes@godaddy.com และหลังจากนั้นก็เปลี่ยนอีกครั้งเป็น artreview@godaddy.com
  • ทุกครั้งที่ติดต่อจะมีการสร้าง หมายเลขเคสใหม่ ทำให้ประวัติก่อนหน้าไม่ต่อเนื่อง และต้องเริ่มการ escalate ใหม่ทั้งหมดทุกครั้ง
    • ในเนื้อหาต้นฉบับมีหมายเลขเคสจริง เช่น 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012
  • ข้อพิพาทเกี่ยวกับโดเมนถูกยื่นผ่านเส้นทาง cas.godaddy.com/Form/TransferDispute และฝั่งผู้ร้องได้ส่งชื่อผู้จดทะเบียนโดเมน ใบขับขี่ และเอกสารธุรกิจไปแล้ว
    • ทุกครั้งที่ส่งเอกสารกลับได้รับคำตอบเดิมว่าคาดว่าจะใช้เวลา 48~72 ชั่วโมง
  • หลังผ่านไป 4 วัน GoDaddy ส่งเพียงอีเมลแจ้งว่า “ผู้จดทะเบียนได้ส่ง เอกสารที่จำเป็น แล้ว จึงดำเนินการเปลี่ยนบัญชี และ ปิดเรื่อง
    • แต่ก็ไม่เคยอธิบายว่าเอกสารที่ว่าคืออะไร
    • คำแนะนำต่อจากนั้นมีเพียงลิงก์ไปยัง การค้นหา WHOIS, ผู้ให้บริการอนุญาโตตุลาการของ ICANN และหน้าเกี่ยวกับ การแต่งตั้งทนายความ

การหยุดชะงักของการดำเนินงานและการกู้คืนชั่วคราว

  • หลังจาก GoDaddy แจ้งปิดเรื่อง องค์กรผู้เสียหายได้เริ่ม ย้ายฉุกเฉินไปยังโดเมนใหม่
    • มีการเร่งเปลี่ยนไปใช้อีเมลแอดเดรสใหม่และเว็บไซต์ใหม่ตลอดทั้งคืน
  • การไม่สามารถควบคุมโดเมนเดิมได้ทำให้เกิดความเสียหายต่อ อีเมลแอดเดรสทั้งหมด, สื่อการตลาด และ ทรัพย์สินสะสมด้าน SEO
    • อีเมลที่ส่งมายังที่อยู่เดิมย่อมถูกตีกลับ
    • โดเมนเดิมที่ยังคงอยู่ในสื่อสิ่งพิมพ์และเอกสารภายนอกทั้งหมดกลายเป็นข้อมูลที่ไม่ถูกต้อง
  • หลังจากได้โดเมนเดิมกลับมาแล้ว ก็ต้อง สลับอีเมลและเว็บไซต์กลับไปยังโดเมนเดิมอีกครั้ง เพื่อย้อนการเปลี่ยนแปลงที่ทำไว้เมื่อวันก่อน

สาเหตุจริงและเส้นทางการกู้คืน

  • เช้าวันถัดมา มีคนอีกคนหนึ่งซึ่งอยู่ห่างจากสำนักงานใหญ่ขององค์กรผู้เสียหายราว 2,000 ไมล์ พบว่าในบัญชี GoDaddy ของตัวเองมี โดเมนแปลกปลอม โผล่เข้ามา
    • บุคคลนั้นกำลังพยายามขอคืน อีกโดเมนหนึ่ง ที่อดีตพนักงานเคยใช้อยู่
  • เมื่อร่วมมือกับบุคคลดังกล่าวและใช้ฟังก์ชัน การโอนระหว่างบัญชี ของ GoDaddy โดเมนก็กลับไปยังบัญชีเดิมในเวลา ไม่ถึง 5 นาที และ DNS ก็เริ่มฟื้นตัวทันที
  • กล่าวคือ การแก้ปัญหาที่แท้จริงไม่ได้มาจากทีมซัพพอร์ต ทีมข้อพิพาท หรือทีม CEO Office ของ GoDaddy แต่เกิดจาก ผู้ที่ได้รับโดเมนผิดคน เป็นฝ่ายสังเกตเห็นปัญหาและติดต่อเข้ามาเอง

การโอนย้ายที่ได้รับอนุมัติโดยไม่มีเอกสาร

  • ฝั่งที่ได้รับโดเมนผิดนั้นเป็นสาขาท้องถิ่นในเครือข่ายเดียวกัน และเมื่อ 2 สัปดาห์ก่อนหน้านั้นได้ยื่นคำขอกับ GoDaddy เพื่อ กู้คืนอีกโดเมนหนึ่ง
    • โดเมนที่ร้องขอคือ HELPNETWORKLOCAL.ORG แต่โดเมนที่ถูกย้ายจริงกลับเป็น HELPNETWORKINC.ORG
  • ในลายเซ็นอีเมลของบุคคลดังกล่าวมี เว็บไซต์ซับโดเมน ของ HELPNETWORKINC.ORG อยู่ และดูเหมือนว่าทีมกู้คืนของ GoDaddy จะเห็นโดเมนหลักในลายเซ็นนั้นแล้ว ย้ายโดเมนนั้นเข้าบัญชีแทน
  • GoDaddy ได้ส่งลิงก์สำหรับอัปโหลดเอกสารยืนยันหลักฐานมาให้ แต่ลิงก์นั้น หมดอายุก่อนใช้งาน
    • หลังจากร้องขอลิงก์ใหม่ ก็ยังมี อีเมลอนุมัติการโอนโดเมน ส่งมาก่อนที่ลิงก์ใหม่จะมาถึง
  • ผลสุดท้ายคือบุคคลนี้ ไม่ได้ส่งเอกสารแม้แต่ชิ้นเดียว ทั้งสำหรับโดเมนที่ต้องการขอคืนจริง หรือสำหรับโดเมนที่ได้รับมาผิดโดเมน
    • แต่ถึงอย่างนั้น GoDaddy ก็ยังย้ายโดเมนขององค์กรไม่แสวงหากำไรที่ใช้งานมา 27 ปีไปยังบัญชีอื่น และปิดข้อพิพาทในภายหลัง

ผลกระทบด้านความปลอดภัย

  • ในเนื้อหาต้นฉบับระบุว่าหากผู้รับเป็นผู้ไม่หวังดี ก็อาจทำ การดักอีเมล, รีเซ็ตรหัสผ่าน, รับรหัส MFA, ฟิชชิง, กระจายมัลแวร์ และ เปลี่ยนเส้นทางการชำระเงิน ได้
  • ระหว่างที่องค์กรผู้เสียหายไม่ทราบว่าโดเมนอยู่ที่ไหน พวกเขาต้องเตรียมแจ้งผู้ใช้ทั้งหมดให้ ลบโดเมนที่ถูกยึดไปออกจากบัญชีบริการสำคัญ
    • บริการที่ได้รับผลกระทบรวมถึงธนาคาร, Amazon, IRS, ระบบเงินเดือน, Dropbox, บัญชีอีเมล และแม้แต่บัญชี GoDaddy เอง
  • เพียงข้อเท็จจริงที่ว่าการโอนลักษณะนี้ได้รับอนุมัติโดยไม่มีเอกสาร ก็ถือเป็น ปัญหาด้านความปลอดภัยร้ายแรง อยู่แล้ว

ปัญหาช่องทางรายงานด้านความปลอดภัยและการดำเนินการต่อ

  • ก่อนเผยแพร่ผลการตรวจสอบ มีการส่งอีเมลถึงทีมความปลอดภัยของ GoDaddy โดยตรงที่ security@godaddy.com แต่ อีเมลตีกลับ
    • ระบบตอบกลับอัตโนมัติแจ้งว่ากล่องจดหมายนี้ไม่ได้มีการเฝ้าดูแล้ว และแนะนำให้ใช้ Abuse Reporting Form กับ https://hackerone.com/godaddy-vdp แทน
  • รายงานฉบับเดียวกันนี้จึงถูกส่งผ่าน HackerOne ในที่สุด และในต้นฉบับมีระบุ report #3696718
  • โครงสร้างที่ช่องทางทางการใช้งานไม่ได้จริง และมีเพียงคนที่รู้เส้นทางอ้อมเท่านั้นจึงจะเข้าถึงผู้รับผิดชอบตัวจริงได้ ซ้ำรอยกับรูปแบบเดียวกับการรับมือเหตุขัดข้อง 4 วันครั้งนี้
  • มาตรการติดตามผลที่ต้นฉบับเรียกร้องนั้นชัดเจน
    • ต้องมีผู้รับผิดชอบที่ระบุตัวตนได้จาก Flagstream Technologies ติดต่อโดยตรง
    • ต้องไม่ใช้บัญชีอีเมลสาธารณะทั่วไป แต่ต้องให้ อีเมลที่ตอบกลับได้และหมายเลขโทรศัพท์
    • ต้องมีการตรวจสอบภายในเกี่ยวกับ ขั้นตอนการยืนยันการโอน และ สาเหตุที่อนุมัติโดยไม่มีเอกสาร

แนวทางรับมือที่ยังเหลืออยู่

  • ความกังวลที่ใหญ่กว่าของฝั่งผู้เสียหายคือ ตราบใดที่ยังคงฝากโดเมนไว้กับ GoDaddy ก็ มองไม่เห็นวิธีป้องกันภัยลักษณะเดียวกันนี้ในอนาคต
  • ในเนื้อหาต้นฉบับระบุว่า Flagstream มีแนวโน้มสูงที่จะย้ายโดเมนทั้งหมดของบริษัทออกจาก GoDaddy
  • ท้ายบทความทิ้งคำถามให้ผู้ที่ยังใช้ GoDaddy เป็นผู้ดูแลโดเมน ลองตรวจสอบด้วยตนเองว่าหากวันหนึ่งโดเมนหายไปจากบัญชีและทั้งธุรกิจหยุดชะงัก จะรับมืออย่างไร

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
ndrgrd 2 일 전

ทุกครั้งที่เห็นเรื่องแบบนี้ก็อดคิดไม่ได้ว่า การออกแบบระบบให้เป็นไปในทิศทางที่แทบเป็นไปไม่ได้เลยที่จะหลบเลี่ยงหรือล้มเหลวได้ แม้จะไม่ได้อ่านเอกสารต่าง ๆ ให้มากที่สุดนั้น จะเป็นเรื่องยากมากไหม
 
GN⁺ 3 일 전
ความเห็นจาก Hacker News

  • GoDaddy มีชื่อเสียมากจนถึงขั้นมีบทความใน Wikipedia แยกเฉพาะเลย
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • ประวัติที่ผ่านมาของ GoDaddy แย่มากอยู่แล้ว แค่รวบรวมเคสเก่า ๆ ก็เห็นบริบทได้ชัด
    Jan 2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Jan 2019: GoDaddy injecting JavaScript into websites and how to stop it
    Aug 2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Dec 2022: GoDaddy buying domains when they expire to extort their own users
    Jul 2023: Godaddy just stole my domain
    Jan 2024: Tell HN: GoDaddy Stole My Domain

    • ในปี 2011 ยังถึงขั้นสนับสนุน SOPAด้วย และสุดท้ายก็ไม่เคยถอนการสนับสนุนนั้น
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      ดูเป็นบริษัทที่ภาพลักษณ์นำหน้าเทคโนโลยีอยู่เสมอ และฝั่งวิศวกรรมก็ดูเหมือนทำงานรับเงินเดือนไปวัน ๆ ไม่ค่อยสนใจลูกค้าหรือคุณภาพ ซึ่งพฤติกรรมจริงก็ออกมาแบบนั้นเป๊ะ
    • ชื่อเสียหนักจนมีบทความใน Wikipediaแยกเฉพาะ แต่ทั้งในนั้นและในลิสต์ของคุณก็ยังไม่มีเรื่องบล็อกทั้งประเทศรวมอยู่ด้วย
    • GoDaddy เคยถึงขั้นบล็อกทั้งประเทศ และจำได้ว่าช่วงหนึ่งไม่ใช่แค่เว็บไซต์ของตัวเอง แต่บริการ DNS สำหรับลูกค้าก็โดนบล็อกนั้นไปด้วย
      แบบนั้นก็แปลว่าในบางประเทศ แม้แต่เว็บไซต์ของลูกค้าเองก็อาจเข้าไม่ได้
      ราคาแพงแต่มูลค่าต่ำมากจนไม่เข้าใจว่าทำไมคนยังใช้
    • ลิงก์ SSL certificate อันแรกของปี 2017 ผิด ลิงก์ที่ถูกคือ https://news.ycombinator.com/item?id=13377214
      ลิงก์ปัจจุบันชี้กลับมาที่เธรดนี้เอง
    • แค่ไปค้นเรื่อง GoDaddy ใน Slashdot สมัยก่อนก็พอแล้ว
      ตั้งแต่ตอนผมเพิ่งมีคอมพิวเตอร์เครื่องแรก GoDaddy ก็ถูกมองว่าเป็น NoDaddy อยู่แล้ว
      หนึ่งในไม่กี่ครั้งช่วงต้นถึงกลางยุค 2000 ที่เห็นโปรแกรมเมอร์พูดตรง ๆ ว่าอะไรสักอย่างมีลักษณะเกลียดผู้หญิง ก็คือเรื่องบูธในงานคอนเวนชันของ GoDaddy ซึ่งผมยังจำได้อยู่เลย

  • ตอนแรกดูเหมือนจะเป็นฝีมือคนใน
    ผมก็เคยโดนที่ AWS ทั้งที่ตั้งค่าความปลอดภัยไว้หมดแล้วแต่บัญชียังโดนเจาะ แล้วภายหลังก็พบว่าสาเหตุมาจากผู้รับเหมาภายใน
    ก่อนหน้านั้น AWS โทษผมฝ่ายเดียวแบบไม่มีหลักฐาน จนกระทั่งผมติดต่อสำนักงานอัยการสูงสุดของรัฐ การสืบสวนถึงเริ่มขึ้นและผู้จัดการถึงเริ่มจัดการอย่างจริงจัง

    • ถ้าอ่านท้ายบทความจะมีคำอธิบายอยู่
      มีลูกค้า GoDaddy อีกรายขอโอนโดเมนที่หน้าตาคล้ายกัน แล้วระหว่างกระบวนการนั้นก็โอนโดเมนผิดชื่อไปให้
    • นี่ดูใกล้เคียงกับความไร้ความสามารถของกระบวนการภายในมากกว่าการกระทำโดยเจตนาของคนใน
      พนักงานไม่ทำตามขั้นตอนเลย และยังอ่านอีเมลผิดแบบเหลือเชื่อจนโอนโดเมนผิดอัน
    • การตีความนั้นไม่ค่อยสมเหตุสมผล
      ที่เอากลับคืนมาได้ก็เพราะฝั่งที่ได้รับโดเมนแจ้งกับทีมซัพพอร์ตของ GoDaddy เองว่าโดเมนนี้ถูกโอนมาผิด
      ไม่เห็นว่าตรงไหนจะตีความเป็นปฏิบัติการของคนในได้
    • ถ้าอ่านบทความดี ๆ โดเมนถูกโอนไปให้คนในสาขาท้องถิ่นขององค์กรเดียวกัน แล้วคนนั้นสังเกตเห็นความผิดปกติจึงติดต่อเจ้าของเดิมและช่วยแก้ปัญหา
      จะมองมุมไหนก็ไม่เหมือน inside job
    • ถ้าเป็นคนในจริง จะโอนโดเมนผิดไปใส่ในบัญชีของคนแปลกหน้าที่ไม่ได้จะใช้มันเลยทำไม
      คนที่ได้รับมาก็ยังพยายามส่งคืนให้เจ้าของเดิมด้วย คำอธิบายแบบจงใจขโมยเลยยิ่งฟังไม่ขึ้น

  • ในบทความพูดถึง 3 อย่างคือ อีเมลทุกอันใช้ไม่ได้, เอกสารการตลาดทั้งหมดผิด, และ เสีย SEO แต่ผมว่ามีเรื่องใหญ่กว่านั้นที่ตกหล่นไป
    ถ้าเสียโดเมนไป จะเกิดสถานการณ์ บัญชีออนไลน์ถูกล็อก ทันทีสำหรับทุกบริการที่ส่งรหัสยืนยันการล็อกอินผิดปกติมาทางอีเมล
    ทั้งธนาคาร, CRM และบริการธุรกิจต่าง ๆ อาจใช้งานไม่ได้ต่อเนื่องกันเป็นลูกโซ่

    • จริง 2FA ผ่านอีเมลก็เดิมทีก็เสี่ยงอยู่แล้ว พอเอาความไร้ความสามารถของ registrar มารวมด้วยก็ยิ่งน่ากลัว
    • เมื่อหลายปีก่อน การผูกทุกอย่างไว้กับอีเมลบนโดเมนของตัวเองดูเหมือนเป็นทางเลือกที่ดีที่สุด
      เพราะตราบใดที่ผมเป็นเจ้าของโดเมน ก็ย้ายไปโฮสต์ที่ไหนก็ได้ ฟังดูเป็นอุดมคติมาก
      แต่พอคิดถึงสถานการณ์หายนะแบบนี้ สุดท้ายก็ต้องกลับไปเก็บ Gmail ไว้ด้วย
      โชคดีที่ใน EU ยังให้ความสำคัญกับการยืนยันตัวตนเจ้าของจริงค่อนข้างมาก ดังนั้นถึงเกิดข้อผิดพลาดแบบนี้ก็มักมีโอกาสแก้ได้ภายในไม่กี่ชั่วโมง
    • ผลกระทบต่อเนื่องมันใหญ่จนจินตนาการยาก
      ถ้าทุกอย่างผูกกับอีเมลนั้น มันร้ายแรงกว่าทำโทรศัพท์หรือ SIM หายเสียอีก และคล้ายสถานการณ์ที่อยู่ต่างประเทศแล้วใช้เบอร์ไม่ได้ แต่แย่กว่านั้นอีก
    • นี่แหละประเด็นสำคัญจริง ๆ ที่ผมไม่ทันนึกถึง
    • ถ้านี่เป็นการยึดแบบเจาะจงเป้าหมาย โอกาสทำโกงคงมหาศาล
      ทั้งอีเมลและการติดต่อทุกอย่างวิ่งเข้ามาที่โดเมนเดียวกัน คนแอบอ้างจึงสามารถตอบกลับต่อได้เหมือนไม่มีอะไรเกิดขึ้น
      ที่น่ากลัวยิ่งกว่าคือ ถ้า GoDaddy ส่งต่อโดเมนอย่าง npmjs.com แบบนี้ได้ง่าย ๆ ก็ชวนให้รู้สึกว่าใครสักคนอาจกลายเป็น crypto billionaire ได้ข้ามคืนเลย

  • ผมคิดว่าควรจดทะเบียนเครื่องหมายการค้าให้โดเมนไว้ดีกว่า
    ค่าใช้จ่ายระดับไม่กี่ร้อยดอลลาร์ ทำออนไลน์ได้ และจะทำให้สิทธิของคุณแข็งแรงขึ้นมาก ไม่ว่าจะสู้กับ ICANN, คนยึดโดเมน, พวก typosquatter, registrar หรือในศาล
    คุณยังสามารถให้ทนายส่งจดหมายเตือนที่หนักแน่น เพื่อข้ามชั้นซัพพอร์ตและเร่งเข้าสู่กระบวนการทางกฎหมายได้เร็วขึ้น
    ANIMATS®

    • โครงสร้างแบบนี้มันแย่มาก
      กลายเป็นว่าต้องจ่ายเงินเพิ่มเพื่อให้พลังป้องกันความเป็นเจ้าของสูงขึ้น
    • ผมทำธุรกิจเป็นregistrar โดเมน
      ในความเห็นส่วนตัว ผมว่าอย่าดึงเรื่องเครื่องหมายการค้าเข้ามาในข้อพิพาทแบบนี้ดีกว่า
      ทันทีที่คุณอ้างสิทธิ์เครื่องหมายการค้า โดเมนมักจะถูกล็อกเพื่อกันการเปลี่ยนแปลง และโดยทั่วไปคุณจะถูกแนะนำให้ไปยื่น UDRP
      กว่าคำตัดสินจะออกก็กินเวลาหลายเดือน
      จดหมายทนายก็คล้ายกัน ยกเว้นบางกรณีที่จำกัดมาก เราไม่ได้มีหน้าที่ต้องเสียค่าใช้จ่ายเพื่อตอบสนองต่อการขู่ทางกฎหมาย
      แต่ถ้าคุณยื่นคำขอให้ดำเนินการบางอย่างโดยอ้างสิทธิ์ทางกฎหมาย สุดท้ายเราก็ตอบได้แค่ว่าต้องไปที่ศาลที่มีเขตอำนาจหรือเข้าสู่กระบวนการอย่างเป็นทางการ
    • อยากรู้ว่าที่ไหนสามารถจดเครื่องหมายการค้าออนไลน์ได้
      ในแคนาดาแทบจะต้องใช้ทนาย และช่วงโควิดที่งานคั่งค้างหนัก ๆ เคยต้องรอถึง 4 ปีกว่าจะจดเสร็จ
      ถ้าทำออนไลน์แบบง่าย ๆ ได้คงดีมาก
    • ต่อให้มีเครื่องหมายการค้า บางครั้งก็ช่วยอะไรไม่ค่อยได้
      กรณีของผมมีเครื่องหมายการค้าจดทะเบียนในสหรัฐฯและยังมาก่อนตามลำดับเวลา แต่ Facebook ก็ยังปิดเว็บไซต์ของผมอยู่ดี

  • ไม่ใช่แค่เมื่อ 10 ปีก่อน แม้แต่ตอนนี้ผมก็ยังไม่เข้าใจว่าทำไมคนถึงใช้ GoDaddy

    • ถึงอย่างนั้นมันก็ยังเป็น registrar รายใหญ่ที่สุดในโลก และทิ้งห่างคู่แข่งพอสมควร
      ในมุมธุรกิจ กลยุทธ์เลือกผู้ขายที่เป็นที่รู้จักที่สุดมักใช้ได้ผลดี เพราะคนคาดหวังว่าบริษัทนั้นจะมีขั้นตอนพร้อมรับมือสถานการณ์ต่าง ๆ
      เพราะแบบนั้นเหตุการณ์นี้จึงยิ่งดูร้ายแรง
      โดเมนเป็นสิ่งสำคัญอย่างยิ่งต่อธุรกิจ แต่ก็เป็นอุตสาหกรรมประหลาดที่แทบไม่สร้างรายได้ต่อลูกค้าเลย
      โครงสร้างพื้นฐานทั้งก้อนแขวนอยู่บนสิ่งนี้ แต่รายได้กลับอยู่แค่ราว 15 ดอลลาร์ต่อปี และถ้ามีคำขอซัพพอร์ตแค่ครั้งเดียวก็อาจทำให้ลูกค้ารายนั้นไม่มีกำไรแล้ว
    • ทุกวันนี้คนซื้อโดเมนส่วนใหญ่เป็นผู้ใช้ที่ไม่ใช่สายเทคนิค และจริง ๆ ก็เป็นแบบนี้มานานแล้ว
      ถ้าไปถามคน 100 คนว่าซื้อโดเมนจากที่ไหน เป็นไปได้มากว่า GoDaddy จะมาอันดับหนึ่งแบบทิ้งขาด
      เรื่องลบเกี่ยวกับแบรนด์หรือเหตุการณ์ด้านความปลอดภัย คนส่วนใหญ่ก็คงไม่รู้ด้วยซ้ำ
    • เห็นด้วย
      ตอนเห็นคำว่า ผู้ดูแล IT ที่มีความสามารถ ผมแอบขำเลย
      แทบจำไม่ได้ว่าผมเคยได้ยินเรื่องดี ๆ เกี่ยวกับ GoDaddy บ้างไหม
    • มีองค์กรระดับ enterprise ใช้ GoDaddy มากกว่าที่คิด
      และซัพพอร์ตของ managed hosting กลับค่อนข้างโอเคอย่างน่าประหลาด
      ผมไม่ได้ชอบบริการนี้หรอก แต่มีลูกค้าบางรายใช้อยู่ และทุกครั้งที่มีปัญหาเซิร์ฟเวอร์ ฝั่งซัพพอร์ตก็แก้ให้เร็วมาก ง่ายกว่าที่ผมต้องลงไปจัดการเองเยอะ
      อย่างน้อยจนถึงตอนนี้ก็ยังเป็นซัพพอร์ตในประเทศ ไม่ใช่งานเอาต์ซอร์สต่างประเทศ
    • การจดโดเมนมักเกิดขึ้นในช่วงเริ่มต้นธุรกิจ และอาจเป็นการลงมือทำอย่างเป็นรูปธรรมอย่างแรกของผู้ก่อตั้งด้วย
      ถ้าเป็นผู้ก่อตั้งที่ไม่ใช่สายเทคนิค ก็แค่ค้นกูเกิลว่า buy a domain แล้วไปที่ผลลัพธ์แรก
      พอระบบ IT โตขึ้นก็ควรย้ายไปผู้ให้บริการที่ดีกว่า แต่การจดมักเป็นหลายปี มีต่ออายุอัตโนมัติ และถ้าใช้งานได้ดีไม่มีปัญหา เรื่องตรงหน้าในแต่ละวันก็มักสำคัญกว่าความเสี่ยงเชิงทฤษฎี

  • พูดตรง ๆ คือคำว่า มีความสามารถ กับการเอาโดเมนลูกค้าไปไว้ที่ GoDaddy ดูไม่ค่อยเข้ากัน

    • คนจำนวนมากผูกทั้ง DNS และบริการเสริม ไว้กับ registrar เจ้าเดียว
      ถึงจะเป็นความผิดพลาด แต่ก็เป็นรูปแบบที่พบได้บ่อยมาก
      ถ้ามันทำงานได้ดีอยู่แล้ว จะไปโน้มน้าวลูกค้าที่ไม่เคยเจอปัญหาให้ย้ายทั้ง DNS, โฮสติ้ง และอีเมล ไม่ใช่เรื่องง่าย
    • ฟังดูประชดนิด ๆ แต่เมื่อก่อนมันเคยเป็นตัวเลือกที่ราคาถูก และบางทีก็แค่ใช้งานต่อมาเรื่อย ๆ
      หลัง Google Domains ถูกขายต่อ ผมเองก็ใช้ Squarespace บ่อยขึ้น เพราะราคาพอใช้ได้และที่สำคัญคือมันใช้งานอยู่แล้ว
      ต่อให้มีเครื่องมือที่ดีกว่า การย้ายก็ต้องใช้เวลา เสี่ยงให้ลูกค้าหยุดชะงัก และเพิ่มความเครียด
      ไม่ใช่ว่าผมตั้ง VPS ไม่เป็น แต่แค่ไม่มีเหตุผลมากพอจะเสียเวลาไม่กี่ชั่วโมงแบบไม่ได้ค่าใช้จ่าย
      กรณีนี้ก็อาจคล้ายกัน Lee อาจเก่งมากก็ได้ แต่แค่มี foot gun ที่นอนอยู่เงียบ ๆ มานานแล้วเพิ่งมาระเบิดทีหลัง
      ไม่ใช่เรื่องในอุดมคติ แต่ในโลกจริงเกิดขึ้นได้มากพอสมควร และอย่างน้อยเหตุการณ์นี้ก็ทำให้ผมชัดเจนขึ้นว่าจะหลีกเลี่ยงผู้ให้บริการรายไหนในอนาคต
    • ต่อให้ดูทางเลือกทั้งหมดที่มีคนแนะนำที่นี่ ก็ไม่มีใครบอกได้หรอกว่าในอีก 5 ปีข้างหน้าเจ้านั้นจะไม่เกิด enshittification, ไม่ถูกขายให้ PE สายรีดกำไร, ไม่แทนที่ซัพพอร์ตด้วย AI หรือไม่ลดคนลง 40%
      27 ปีเป็นเวลาที่ยาวนานมาก
      ผู้ดูแล IT ที่เก่งสามารถวางแผนสำรองสำหรับเหตุขัดข้องที่คาดการณ์ได้ แต่ไม่สามารถควบคุมความผิดพลาดระดับ registrarได้
      แม้แต่บริษัทอย่าง MarkMonitor ที่ขายตัวเองว่าเป็น bulletproof domains ก็ยังเคยทำพลาดครั้งใหญ่
      และการบอกว่าให้จดโดเมนใหม่กับ X นั้นง่าย แต่การจะไปบอกให้ย้ายโดเมนเก่าออกจาก Y นั้นยากกว่ามาก
    • งั้นควรเอาโดเมนไปไว้ที่ไหนถึงจะดีกว่า
    • ผมไม่เข้าใจว่าทำไมถึงบอกว่ามันไม่เข้ากัน
      อย่างน้อย GoDaddy ก็เป็นregistrar ที่ได้รับการรับรองอย่างเป็นทางการ และลูกค้าก็เปิด MFA สองชั้น ไว้แล้ว
      ลูกค้าทำทุกอย่างที่ตัวเองทำได้แล้ว
      ผมเคยได้ยินว่า GoDaddy ทำพลาดแปลก ๆ มาก่อน แต่ไม่เคยเห็นการ ย้ายผิดแบบเพี้ยนสุด ๆ ระดับนี้
      ในสถานการณ์แบบนี้ การโทษเหยื่อก็ไม่ต่างจากบอกว่าคุณไม่ล็อกประตูเอง ถ้าโดนขโมยก็เป็นความผิดคุณ
      คนที่ละเมิดกฎคือ GoDaddy และลูกค้าจ่ายเงินก็เพื่อคาดหวังว่ากฎนั้นจะถูกปฏิบัติตาม
      ถ้าโน้มไปทางโทษเหยื่อ ปกติก็มักยืนอยู่ฝั่งที่ผิด

  • แค่เรื่องโอนโดเมนผิดก็ไร้ความสามารถพอแล้ว และถ้าดำเนินการแบบนั้นโดยไม่มีเอกสารที่จำเป็นสักชิ้น ก็ถือเป็นความประมาทชัดเจน
    มันร้ายแรงทุกชั้น

    • ตอนที่เจ้าของเดิมเปิดทิกเก็ตเข้ามา ก็ยังไม่ยอมรับความผิดหรือรีบแก้ให้ทันที ยิ่งแย่เข้าไปอีก
    • พอคิดถึงผลกระทบเป็นลูกโซ่ที่การย้ายแบบนี้ก่อได้ ก็ยิ่งน่าหวาดเสียวมาก

  • เพราะงั้นผมเลยชอบ registrar ที่ถึงจะไม่ใหญ่มากแต่รับผิดชอบอย่าง porkbun มากกว่า
    ยิ่งหลังจากเคยเสียโดเมนให้กับ registrar สาย “cheap name” มาก่อนก็ยิ่งเป็นแบบนั้น
    นี่เป็นแค่ประสบการณ์ส่วนตัว และผมไม่มีผลประโยชน์เกี่ยวข้องกับสองเจ้าที่พูดถึง

  • GoDaddy พิสูจน์ตัวเองมานานแล้วว่าเป็นบริษัทที่เสื่อมทราม
    ถ้าลูกค้าจ่ายเงินไม่ทัน มันก็จะยึดโดเมนนั้นไว้แล้วเอาไปเปิดประมูลใหม่พร้อมบวกราคาแบบโหด ๆ และเรื่องแย่ ๆ ทำนองนี้ก็มีอีกเยอะ
    โดเมนหลักของผมยังอยู่กับ nic.ddn.mil / rs.internic.net หรือก็คือเครือ Network Solutions ในปัจจุบัน
    สมัยก่อนอย่างน้อยยังมีจริยธรรมประมาณว่าจะให้โดเมนได้แค่หนึ่งโดเมนต่อหนึ่งสถานที่จริงเพื่อคนรุ่นหลัง แต่พอบริษัทยาแห่งหนึ่งจะซื้อทีเดียวราว 90 โดเมน จริยธรรมนั้นก็หายไปทันที
    ถึงอย่างนั้น แม้แต่กระบวนการโบราณที่แทบไม่พัฒนาเลยตลอดหลายสิบปีหลังเริ่มมีรายได้ ก็ยังให้ความรู้สึกน่าเชื่อถือกว่า GoDaddy
    ในหมู่คนที่รู้จักกัน GoDaddy เป็นมุกตลกที่ทุกคนรู้กันมานานมากแล้ว