GoDaddy โอนโดเมนให้คนแปลกหน้าโดยไม่มีเอกสารใด ๆ

 (anchor.host)
4 คะแนน โดย GN⁺ 23 일 전 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • โดเมนที่ใช้งานมา 27 ปี ถูกย้ายไปยังบัญชี GoDaddy อื่นโดยไม่มีการแจ้งเตือนล่วงหน้า ทำให้ เว็บไซต์และอีเมล ที่เชื่อมต่ออยู่หยุดชะงักเป็นเวลา 4 วัน
  • แม้บัญชีจะเปิดใช้ การยืนยันตัวตนแบบ 2 ขั้นตอน และเปิดฟีเจอร์ปกป้องโดเมนไว้ แต่ในบันทึกการตรวจสอบระบุว่า Internal User ได้สั่ง Transfer to Another GoDaddy Account และสถานะยังคงเป็น ยังไม่ได้ตรวจสอบยืนยัน
  • ระหว่างกระบวนการยื่นข้อพิพาท GoDaddy แจ้งให้ติดต่อหลายอีเมลและเปลี่ยนหมายเลขเคสใหม่ซ้ำ ๆ จากนั้นอีก 4 วันต่อมาจึงปิดเรื่องโดยระบุว่า มีการส่งเอกสารที่จำเป็นแล้ว แต่ไม่ได้เปิดเผยว่าเป็นเอกสารใด
  • การกู้คืนจริงไม่ได้มาจากทีม GoDaddy แต่เกิดขึ้นหลังจากผู้ที่ได้รับโดเมนผิดบัญชีพบว่าในบัญชีของตนมี โดเมนที่ไม่เกี่ยวข้อง โผล่มา แล้วให้ความร่วมมือด้วยตนเอง จนโดเมนถูกโอนกลับสู่บัญชีเดิมได้ในเวลา ไม่ถึง 5 นาที
  • การที่การโอนลักษณะนี้ได้รับอนุมัติโดยไม่มีการส่งเอกสาร เผยให้เห็นความเสี่ยงด้านความปลอดภัยที่อาจนำไปสู่ การดักอีเมล, การรีเซ็ตรหัสผ่าน และการเปลี่ยนเส้นทางการชำระเงิน พร้อมเพิ่มความกังวลว่าจะป้องกันภัยคุกคามแบบเดียวกันนี้ในอนาคตได้ยาก

ภาพรวมของเหตุการณ์

  • โดเมนที่ใช้งานมา 27 ปี ถูกย้ายออกจากบัญชี GoDaddy ไปยังบัญชี GoDaddy อื่นโดยไม่มีการแจ้งเตือนล่วงหน้า ส่งผลให้ เว็บไซต์และอีเมล ขององค์กรดังกล่าวใช้งานไม่ได้เป็นเวลา 4 วัน
    • บัญชีนี้เปิดใช้ การยืนยันตัวตนแบบ 2 ขั้นตอนสองชั้น และโดเมนเปิดใช้ Full Domain Privacy and Protection ของ GoDaddy อยู่
    • ในบันทึกการตรวจสอบมีรายการ Transfer to Another GoDaddy Account โดยผู้ดำเนินการเป็น Internal User และบันทึก Change Validated: No
  • ทันทีหลังการย้าย GoDaddy ได้ รีเซ็ต DNS zone กลับเป็นค่าเริ่มต้น ทำให้แม้ nameserver จะยังเหมือนเดิม แต่ zone file ว่างเปล่าและบริการทั้งหมดออฟไลน์
    • โดเมนนี้เป็นโดเมนหลักที่ 20 สาขาทั่วสหรัฐฯ ใช้งานร่วมกัน และเว็บไซต์กับอีเมลของแต่ละสาขาต่างพึ่งพาโดเมนย่อยภายใต้โดเมนนี้
  • อีเมลแจ้งคำขอกู้คืนบัญชีมาถึงเวลา 13:39 น. ของวันเสาร์ และถูกดำเนินการเป็น เริ่มโอนหลังจากนั้น 3 นาที และ เสร็จสิ้นอีก 4 นาทีถัดมา
  • ฝั่งผู้เสียหายโทรไป 32 ครั้ง ใช้เวลาคุยรวม 9.6 ชั่วโมง และส่งอีเมล 17 ฉบับ แต่ ไม่เคยได้รับการโทรกลับเลยแม้แต่ครั้งเดียว

การรับมือของ GoDaddy และการจัดการข้อพิพาท

  • ในการติดต่อครั้งแรก GoDaddy ยืนยันว่าโดเมนไม่ได้อยู่ในบัญชีเดิมแล้ว แต่ปฏิเสธที่จะบอกว่าถูกย้ายไปที่ใดโดยอ้างเหตุผลเรื่อง ความเป็นส่วนตัว
    • ตอนแรกแนะนำให้ติดต่อ undo@godaddy.com แต่ไม่มีการตอบกลับ
    • ต่อมาจึงเปลี่ยนให้ติดต่อ transferdisputes@godaddy.com และภายหลังเปลี่ยนอีกครั้งเป็น artreview@godaddy.com
  • ทุกครั้งที่ติดต่อจะมีการสร้าง หมายเลขเคสใหม่ ทำให้ประวัติเดิมไม่ต่อเนื่อง และต้องเริ่มกระบวนการ escalation ใหม่ทั้งหมดทุกครั้ง
    • ในเนื้อหามีการระบุหมายเลขเคสจริง เช่น 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012
  • ข้อพิพาทเกี่ยวกับโดเมนถูกยื่นผ่านเส้นทาง cas.godaddy.com/Form/TransferDispute โดยฝั่งผู้ร้องได้ส่งชื่อผู้จดทะเบียนโดเมน ใบขับขี่ และเอกสารธุรกิจ
    • ทุกครั้งที่ส่งเอกสาร จะได้รับคำตอบเดิมว่าต้องรอ 48~72 ชั่วโมง
  • ผ่านไป 4 วัน GoDaddy ส่งเพียงอีเมลว่า “ผู้จดทะเบียนได้ส่ง เอกสารที่จำเป็น แล้ว จึงได้ดำเนินการเปลี่ยนบัญชี และ ปิดเรื่อง แล้ว”
    • ไม่มีคำอธิบายเพิ่มเติมว่าเอกสารที่ส่งคืออะไร
    • คำแนะนำต่อจากนั้นมีเพียงลิงก์ไปยัง การค้นหา WHOIS, ผู้ให้บริการอนุญาโตตุลาการของ ICANN และหน้าเกี่ยวกับ การว่าจ้างทนายความ

การหยุดชะงักในการดำเนินงานและการกู้คืนชั่วคราว

  • หลังจาก GoDaddy แจ้งปิดเรื่อง องค์กรผู้เสียหายจึงเริ่ม ย้ายฉุกเฉินไปยังโดเมนใหม่
    • มีการเร่งเปลี่ยนไปใช้อีเมลใหม่และเว็บไซต์ใหม่ตลอดทั้งคืน
  • เนื่องจากไม่สามารถควบคุมโดเมนเดิมได้ ความเสียหายจึงลุกลามไปถึง ที่อยู่อีเมลทั้งหมด, สื่อการตลาด และ สินทรัพย์ SEO ที่สะสมมา
    • อีเมลที่ส่งไปยังที่อยู่เดิมย่อมตีกลับอย่างหลีกเลี่ยงไม่ได้
    • เอกสารสิ่งพิมพ์และสื่อภายนอกที่ยังมีโดเมนเดิมอยู่ทั้งหมดกลายเป็นข้อมูลที่ไม่ถูกต้อง
  • หลังจากได้โดเมนเดิมกลับคืนมา ก็ต้องย้อนงานที่ทำไปเมื่อวันก่อน โดย สลับอีเมลและเว็บไซต์กลับไปใช้โดเมนเดิมอีกครั้ง

สาเหตุที่แท้จริงและเส้นทางการกู้คืน

  • เช้าวันถัดมา มีบุคคลอีกคนหนึ่งซึ่งอยู่ห่างจากสำนักงานใหญ่ขององค์กรผู้เสียหาย 2,000 ไมล์ พบว่าบัญชี GoDaddy ของตนมี โดเมนที่ไม่เกี่ยวข้อง โผล่เข้ามา
    • บุคคลดังกล่าวกำลังพยายามกู้คืน อีกโดเมนหนึ่ง ที่อดีตพนักงานเคยใช้อยู่
  • เมื่อร่วมมือกับเขาและใช้ฟังก์ชัน การโอนระหว่างบัญชี ของ GoDaddy โดเมนก็กลับสู่บัญชีเดิมในเวลา ไม่ถึง 5 นาที และ DNS ก็เริ่มฟื้นตัวทันที
  • กล่าวคือ ผู้ที่ทำให้ปัญหาได้รับการแก้ไขจริงไม่ใช่ทีมซัพพอร์ต ทีมข้อพิพาท หรือทีม Office of the CEO ของ GoDaddy แต่เป็น ผู้ที่ได้รับโดเมนผิดบัญชี ซึ่งสังเกตเห็นความผิดปกติและติดต่อกลับมาด้วยตนเอง

การโอนที่ได้รับอนุมัติโดยไม่มีเอกสาร

  • ฝั่งที่ได้รับโดเมนผิดเป็นสาขาท้องถิ่นในเครือข่ายเดียวกัน และเมื่อ 2 สัปดาห์ก่อนหน้าได้ยื่นคำขอให้ GoDaddy กู้คืนอีกโดเมนหนึ่ง
    • โดเมนที่ร้องขอคือ HELPNETWORKLOCAL.ORG แต่โดเมนที่ถูกโอนจริงคือ HELPNETWORKINC.ORG
  • ในลายเซ็นอีเมลของบุคคลนี้มี เว็บไซต์โดเมนย่อย ของ HELPNETWORKINC.ORG อยู่ และดูเหมือนว่าทีมกู้คืนของ GoDaddy จะเห็นโดเมนหลักที่อยู่ในลายเซ็นแล้ว ย้ายโดเมนนั้นเข้าบัญชีให้แทน
  • GoDaddy ได้ส่งลิงก์อัปโหลดเอกสารยืนยันมาให้ แต่ลิงก์นั้น หมดอายุก่อนใช้งาน
    • แม้จะขอลิงก์ใหม่แล้ว อีเมล อนุมัติการโอนโดเมน ก็ยังมาถึงก่อนที่ลิงก์ใหม่จะถูกส่งมา
  • สรุปคือ บุคคลนี้ ไม่ได้ส่งเอกสารแม้แต่ฉบับเดียว ทั้งสำหรับโดเมนที่ตั้งใจจะกู้คืนเดิม และโดเมนที่ได้รับมาจริง
    • ถึงกระนั้น GoDaddy ก็ยังย้ายโดเมนขององค์กรไม่แสวงหากำไรที่ใช้งานมา 27 ปีไปยังอีกบัญชีหนึ่ง และภายหลังยังปิดข้อพิพาทลงอีกด้วย

ผลกระทบด้านความปลอดภัย

  • ในเนื้อหาระบุว่า หากผู้รับปลายทางเป็นผู้ไม่หวังดี ก็อาจใช้สิ่งนี้เพื่อ ดักอีเมล, รีเซ็ตรหัสผ่าน, รับรหัส MFA, ฟิชชิง, กระจายมัลแวร์ และ เปลี่ยนเส้นทางการชำระเงิน ได้
  • ระหว่างที่องค์กรผู้เสียหายไม่รู้ว่าโดเมนถูกย้ายไปอยู่ที่ใด พวกเขาจำเป็นต้องเตรียมให้ผู้ใช้ทุกคน ถอดโดเมนที่ถูกเจาะออกจากบัญชีบริการสำคัญ
    • บริการที่ได้รับผลกระทบรวมถึงธนาคาร, Amazon, IRS, ระบบเงินเดือน, Dropbox, บัญชีอีเมล และแม้กระทั่งบัญชี GoDaddy เอง
  • การที่การโอนเช่นนี้ได้รับอนุมัติโดยไม่มีเอกสารใด ๆ ถือเป็น ปัญหาด้านความปลอดภัยร้ายแรง ในตัวมันเอง

ปัญหาเกี่ยวกับช่องทางรายงานด้านความปลอดภัยและการดำเนินการต่อ

  • ก่อนเผยแพร่ ผู้เขียนพยายามส่งผลการตรวจสอบไปยังทีมความปลอดภัยของ GoDaddy โดยตรงทาง security@godaddy.com แต่ อีเมลตีกลับ
    • ระบบตอบกลับอัตโนมัติระบุว่ากล่องจดหมายนี้ไม่มีการเฝ้าดูอีกต่อไป และแนะนำให้ใช้ Abuse Reporting Form กับ https://hackerone.com/godaddy-vdp แทน
  • รายงานฉบับเดียวกันจึงถูกส่งผ่าน HackerOne ในที่สุด และในเนื้อหามีการระบุ report #3696718
  • การที่ช่องทางอย่างเป็นทางการใช้งานไม่ได้ และมีเพียงคนที่รู้ทางอ้อมเท่านั้นที่เข้าถึงผู้รับผิดชอบจริงได้ สะท้อน รูปแบบเดียวกับการรับมือเหตุขัดข้อง 4 วันครั้งนี้
  • แนวทางติดตามผลที่เรียกร้องไว้ในต้นฉบับมีความชัดเจน
    • ต้องมีผู้รับผิดชอบที่ระบุตัวตนได้จาก Flagstream Technologies ติดต่อโดยตรง
    • ต้องให้ อีเมลและหมายเลขโทรศัพท์ที่สามารถติดต่อกลับได้ ไม่ใช่บัญชีอีเมลสาธารณะสำหรับใช้งานทั่วไป
    • ต้องมีการทบทวนภายในเกี่ยวกับ ขั้นตอนการตรวจสอบการโอน และ สาเหตุที่อนุมัติการโอนโดยไม่มีเอกสาร

ทิศทางการรับมือที่ยังเหลืออยู่

  • ความกังวลที่ใหญ่กว่าของฝั่งผู้เสียหายคือ ตราบใดที่ยังคงเก็บโดเมนไว้กับ GoDaddy ก็ ไม่เห็นวิธีป้องกันภัยคุกคามลักษณะเดียวกันนี้ได้ในอนาคต
  • ในเนื้อหาระบุว่า Flagstream มีแนวโน้มสูงที่จะย้ายโดเมนทั้งหมดของบริษัทออกจาก GoDaddy
  • หากคุณมีโดเมนอยู่กับ GoDaddy คุณควรตรวจสอบด้วยตนเองว่าจะรับมืออย่างไรหากวันหนึ่งโดเมนหายไปจากบัญชีและทั้งธุรกิจหยุดชะงัก

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
ndrgrd 23 일 전

ทุกครั้งที่เห็นเรื่องแบบนี้ก็อดคิดไม่ได้ว่า การออกแบบระบบให้เป็นไปในทิศทางที่แทบเป็นไปไม่ได้เลยที่จะหลบเลี่ยงหรือล้มเหลวได้ แม้จะไม่ได้อ่านเอกสารต่าง ๆ ให้มากที่สุดนั้น จะเป็นเรื่องยากมากไหม
 
GN⁺ 23 일 전
ความเห็นจาก Hacker News

  • GoDaddy มีชื่อเสียมากจนถึงขั้นมีบทความใน Wikipedia แยกเฉพาะเลย
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • ประวัติที่ผ่านมาของ GoDaddy แย่มากอยู่แล้ว แค่รวบรวมเคสเก่า ๆ ก็เห็นบริบทได้ชัด
    Jan 2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Jan 2019: GoDaddy injecting JavaScript into websites and how to stop it
    Aug 2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Dec 2022: GoDaddy buying domains when they expire to extort their own users
    Jul 2023: Godaddy just stole my domain
    Jan 2024: Tell HN: GoDaddy Stole My Domain

    • ในปี 2011 ยังถึงขั้นสนับสนุน SOPAด้วย และสุดท้ายก็ไม่เคยถอนการสนับสนุนนั้น
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      ดูเป็นบริษัทที่ภาพลักษณ์นำหน้าเทคโนโลยีอยู่เสมอ และฝั่งวิศวกรรมก็ดูเหมือนทำงานรับเงินเดือนไปวัน ๆ ไม่ค่อยสนใจลูกค้าหรือคุณภาพ ซึ่งพฤติกรรมจริงก็ออกมาแบบนั้นเป๊ะ
    • ชื่อเสียหนักจนมีบทความใน Wikipediaแยกเฉพาะ แต่ทั้งในนั้นและในลิสต์ของคุณก็ยังไม่มีเรื่องบล็อกทั้งประเทศรวมอยู่ด้วย
    • GoDaddy เคยถึงขั้นบล็อกทั้งประเทศ และจำได้ว่าช่วงหนึ่งไม่ใช่แค่เว็บไซต์ของตัวเอง แต่บริการ DNS สำหรับลูกค้าก็โดนบล็อกนั้นไปด้วย
      แบบนั้นก็แปลว่าในบางประเทศ แม้แต่เว็บไซต์ของลูกค้าเองก็อาจเข้าไม่ได้
      ราคาแพงแต่มูลค่าต่ำมากจนไม่เข้าใจว่าทำไมคนยังใช้
    • ลิงก์ SSL certificate อันแรกของปี 2017 ผิด ลิงก์ที่ถูกคือ https://news.ycombinator.com/item?id=13377214
      ลิงก์ปัจจุบันชี้กลับมาที่เธรดนี้เอง
    • แค่ไปค้นเรื่อง GoDaddy ใน Slashdot สมัยก่อนก็พอแล้ว
      ตั้งแต่ตอนผมเพิ่งมีคอมพิวเตอร์เครื่องแรก GoDaddy ก็ถูกมองว่าเป็น NoDaddy อยู่แล้ว
      หนึ่งในไม่กี่ครั้งช่วงต้นถึงกลางยุค 2000 ที่เห็นโปรแกรมเมอร์พูดตรง ๆ ว่าอะไรสักอย่างมีลักษณะเกลียดผู้หญิง ก็คือเรื่องบูธในงานคอนเวนชันของ GoDaddy ซึ่งผมยังจำได้อยู่เลย

  • ตอนแรกดูเหมือนจะเป็นฝีมือคนใน
    ผมก็เคยโดนที่ AWS ทั้งที่ตั้งค่าความปลอดภัยไว้หมดแล้วแต่บัญชียังโดนเจาะ แล้วภายหลังก็พบว่าสาเหตุมาจากผู้รับเหมาภายใน
    ก่อนหน้านั้น AWS โทษผมฝ่ายเดียวแบบไม่มีหลักฐาน จนกระทั่งผมติดต่อสำนักงานอัยการสูงสุดของรัฐ การสืบสวนถึงเริ่มขึ้นและผู้จัดการถึงเริ่มจัดการอย่างจริงจัง

    • ถ้าอ่านท้ายบทความจะมีคำอธิบายอยู่
      มีลูกค้า GoDaddy อีกรายขอโอนโดเมนที่หน้าตาคล้ายกัน แล้วระหว่างกระบวนการนั้นก็โอนโดเมนผิดชื่อไปให้
    • นี่ดูใกล้เคียงกับความไร้ความสามารถของกระบวนการภายในมากกว่าการกระทำโดยเจตนาของคนใน
      พนักงานไม่ทำตามขั้นตอนเลย และยังอ่านอีเมลผิดแบบเหลือเชื่อจนโอนโดเมนผิดอัน
    • การตีความนั้นไม่ค่อยสมเหตุสมผล
      ที่เอากลับคืนมาได้ก็เพราะฝั่งที่ได้รับโดเมนแจ้งกับทีมซัพพอร์ตของ GoDaddy เองว่าโดเมนนี้ถูกโอนมาผิด
      ไม่เห็นว่าตรงไหนจะตีความเป็นปฏิบัติการของคนในได้
    • ถ้าอ่านบทความดี ๆ โดเมนถูกโอนไปให้คนในสาขาท้องถิ่นขององค์กรเดียวกัน แล้วคนนั้นสังเกตเห็นความผิดปกติจึงติดต่อเจ้าของเดิมและช่วยแก้ปัญหา
      จะมองมุมไหนก็ไม่เหมือน inside job
    • ถ้าเป็นคนในจริง จะโอนโดเมนผิดไปใส่ในบัญชีของคนแปลกหน้าที่ไม่ได้จะใช้มันเลยทำไม
      คนที่ได้รับมาก็ยังพยายามส่งคืนให้เจ้าของเดิมด้วย คำอธิบายแบบจงใจขโมยเลยยิ่งฟังไม่ขึ้น

  • ในบทความพูดถึง 3 อย่างคือ อีเมลทุกอันใช้ไม่ได้, เอกสารการตลาดทั้งหมดผิด, และ เสีย SEO แต่ผมว่ามีเรื่องใหญ่กว่านั้นที่ตกหล่นไป
    ถ้าเสียโดเมนไป จะเกิดสถานการณ์ บัญชีออนไลน์ถูกล็อก ทันทีสำหรับทุกบริการที่ส่งรหัสยืนยันการล็อกอินผิดปกติมาทางอีเมล
    ทั้งธนาคาร, CRM และบริการธุรกิจต่าง ๆ อาจใช้งานไม่ได้ต่อเนื่องกันเป็นลูกโซ่

    • จริง 2FA ผ่านอีเมลก็เดิมทีก็เสี่ยงอยู่แล้ว พอเอาความไร้ความสามารถของ registrar มารวมด้วยก็ยิ่งน่ากลัว
    • เมื่อหลายปีก่อน การผูกทุกอย่างไว้กับอีเมลบนโดเมนของตัวเองดูเหมือนเป็นทางเลือกที่ดีที่สุด
      เพราะตราบใดที่ผมเป็นเจ้าของโดเมน ก็ย้ายไปโฮสต์ที่ไหนก็ได้ ฟังดูเป็นอุดมคติมาก
      แต่พอคิดถึงสถานการณ์หายนะแบบนี้ สุดท้ายก็ต้องกลับไปเก็บ Gmail ไว้ด้วย
      โชคดีที่ใน EU ยังให้ความสำคัญกับการยืนยันตัวตนเจ้าของจริงค่อนข้างมาก ดังนั้นถึงเกิดข้อผิดพลาดแบบนี้ก็มักมีโอกาสแก้ได้ภายในไม่กี่ชั่วโมง
    • ผลกระทบต่อเนื่องมันใหญ่จนจินตนาการยาก
      ถ้าทุกอย่างผูกกับอีเมลนั้น มันร้ายแรงกว่าทำโทรศัพท์หรือ SIM หายเสียอีก และคล้ายสถานการณ์ที่อยู่ต่างประเทศแล้วใช้เบอร์ไม่ได้ แต่แย่กว่านั้นอีก
    • นี่แหละประเด็นสำคัญจริง ๆ ที่ผมไม่ทันนึกถึง
    • ถ้านี่เป็นการยึดแบบเจาะจงเป้าหมาย โอกาสทำโกงคงมหาศาล
      ทั้งอีเมลและการติดต่อทุกอย่างวิ่งเข้ามาที่โดเมนเดียวกัน คนแอบอ้างจึงสามารถตอบกลับต่อได้เหมือนไม่มีอะไรเกิดขึ้น
      ที่น่ากลัวยิ่งกว่าคือ ถ้า GoDaddy ส่งต่อโดเมนอย่าง npmjs.com แบบนี้ได้ง่าย ๆ ก็ชวนให้รู้สึกว่าใครสักคนอาจกลายเป็น crypto billionaire ได้ข้ามคืนเลย

  • ผมคิดว่าควรจดทะเบียนเครื่องหมายการค้าให้โดเมนไว้ดีกว่า
    ค่าใช้จ่ายระดับไม่กี่ร้อยดอลลาร์ ทำออนไลน์ได้ และจะทำให้สิทธิของคุณแข็งแรงขึ้นมาก ไม่ว่าจะสู้กับ ICANN, คนยึดโดเมน, พวก typosquatter, registrar หรือในศาล
    คุณยังสามารถให้ทนายส่งจดหมายเตือนที่หนักแน่น เพื่อข้ามชั้นซัพพอร์ตและเร่งเข้าสู่กระบวนการทางกฎหมายได้เร็วขึ้น
    ANIMATS®

    • โครงสร้างแบบนี้มันแย่มาก
      กลายเป็นว่าต้องจ่ายเงินเพิ่มเพื่อให้พลังป้องกันความเป็นเจ้าของสูงขึ้น
    • ผมทำธุรกิจเป็นregistrar โดเมน
      ในความเห็นส่วนตัว ผมว่าอย่าดึงเรื่องเครื่องหมายการค้าเข้ามาในข้อพิพาทแบบนี้ดีกว่า
      ทันทีที่คุณอ้างสิทธิ์เครื่องหมายการค้า โดเมนมักจะถูกล็อกเพื่อกันการเปลี่ยนแปลง และโดยทั่วไปคุณจะถูกแนะนำให้ไปยื่น UDRP
      กว่าคำตัดสินจะออกก็กินเวลาหลายเดือน
      จดหมายทนายก็คล้ายกัน ยกเว้นบางกรณีที่จำกัดมาก เราไม่ได้มีหน้าที่ต้องเสียค่าใช้จ่ายเพื่อตอบสนองต่อการขู่ทางกฎหมาย
      แต่ถ้าคุณยื่นคำขอให้ดำเนินการบางอย่างโดยอ้างสิทธิ์ทางกฎหมาย สุดท้ายเราก็ตอบได้แค่ว่าต้องไปที่ศาลที่มีเขตอำนาจหรือเข้าสู่กระบวนการอย่างเป็นทางการ
    • อยากรู้ว่าที่ไหนสามารถจดเครื่องหมายการค้าออนไลน์ได้
      ในแคนาดาแทบจะต้องใช้ทนาย และช่วงโควิดที่งานคั่งค้างหนัก ๆ เคยต้องรอถึง 4 ปีกว่าจะจดเสร็จ
      ถ้าทำออนไลน์แบบง่าย ๆ ได้คงดีมาก
    • ต่อให้มีเครื่องหมายการค้า บางครั้งก็ช่วยอะไรไม่ค่อยได้
      กรณีของผมมีเครื่องหมายการค้าจดทะเบียนในสหรัฐฯและยังมาก่อนตามลำดับเวลา แต่ Facebook ก็ยังปิดเว็บไซต์ของผมอยู่ดี

  • ไม่ใช่แค่เมื่อ 10 ปีก่อน แม้แต่ตอนนี้ผมก็ยังไม่เข้าใจว่าทำไมคนถึงใช้ GoDaddy

    • ถึงอย่างนั้นมันก็ยังเป็น registrar รายใหญ่ที่สุดในโลก และทิ้งห่างคู่แข่งพอสมควร
      ในมุมธุรกิจ กลยุทธ์เลือกผู้ขายที่เป็นที่รู้จักที่สุดมักใช้ได้ผลดี เพราะคนคาดหวังว่าบริษัทนั้นจะมีขั้นตอนพร้อมรับมือสถานการณ์ต่าง ๆ
      เพราะแบบนั้นเหตุการณ์นี้จึงยิ่งดูร้ายแรง
      โดเมนเป็นสิ่งสำคัญอย่างยิ่งต่อธุรกิจ แต่ก็เป็นอุตสาหกรรมประหลาดที่แทบไม่สร้างรายได้ต่อลูกค้าเลย
      โครงสร้างพื้นฐานทั้งก้อนแขวนอยู่บนสิ่งนี้ แต่รายได้กลับอยู่แค่ราว 15 ดอลลาร์ต่อปี และถ้ามีคำขอซัพพอร์ตแค่ครั้งเดียวก็อาจทำให้ลูกค้ารายนั้นไม่มีกำไรแล้ว
    • ทุกวันนี้คนซื้อโดเมนส่วนใหญ่เป็นผู้ใช้ที่ไม่ใช่สายเทคนิค และจริง ๆ ก็เป็นแบบนี้มานานแล้ว
      ถ้าไปถามคน 100 คนว่าซื้อโดเมนจากที่ไหน เป็นไปได้มากว่า GoDaddy จะมาอันดับหนึ่งแบบทิ้งขาด
      เรื่องลบเกี่ยวกับแบรนด์หรือเหตุการณ์ด้านความปลอดภัย คนส่วนใหญ่ก็คงไม่รู้ด้วยซ้ำ
    • เห็นด้วย
      ตอนเห็นคำว่า ผู้ดูแล IT ที่มีความสามารถ ผมแอบขำเลย
      แทบจำไม่ได้ว่าผมเคยได้ยินเรื่องดี ๆ เกี่ยวกับ GoDaddy บ้างไหม
    • มีองค์กรระดับ enterprise ใช้ GoDaddy มากกว่าที่คิด
      และซัพพอร์ตของ managed hosting กลับค่อนข้างโอเคอย่างน่าประหลาด
      ผมไม่ได้ชอบบริการนี้หรอก แต่มีลูกค้าบางรายใช้อยู่ และทุกครั้งที่มีปัญหาเซิร์ฟเวอร์ ฝั่งซัพพอร์ตก็แก้ให้เร็วมาก ง่ายกว่าที่ผมต้องลงไปจัดการเองเยอะ
      อย่างน้อยจนถึงตอนนี้ก็ยังเป็นซัพพอร์ตในประเทศ ไม่ใช่งานเอาต์ซอร์สต่างประเทศ
    • การจดโดเมนมักเกิดขึ้นในช่วงเริ่มต้นธุรกิจ และอาจเป็นการลงมือทำอย่างเป็นรูปธรรมอย่างแรกของผู้ก่อตั้งด้วย
      ถ้าเป็นผู้ก่อตั้งที่ไม่ใช่สายเทคนิค ก็แค่ค้นกูเกิลว่า buy a domain แล้วไปที่ผลลัพธ์แรก
      พอระบบ IT โตขึ้นก็ควรย้ายไปผู้ให้บริการที่ดีกว่า แต่การจดมักเป็นหลายปี มีต่ออายุอัตโนมัติ และถ้าใช้งานได้ดีไม่มีปัญหา เรื่องตรงหน้าในแต่ละวันก็มักสำคัญกว่าความเสี่ยงเชิงทฤษฎี

  • พูดตรง ๆ คือคำว่า มีความสามารถ กับการเอาโดเมนลูกค้าไปไว้ที่ GoDaddy ดูไม่ค่อยเข้ากัน

    • คนจำนวนมากผูกทั้ง DNS และบริการเสริม ไว้กับ registrar เจ้าเดียว
      ถึงจะเป็นความผิดพลาด แต่ก็เป็นรูปแบบที่พบได้บ่อยมาก
      ถ้ามันทำงานได้ดีอยู่แล้ว จะไปโน้มน้าวลูกค้าที่ไม่เคยเจอปัญหาให้ย้ายทั้ง DNS, โฮสติ้ง และอีเมล ไม่ใช่เรื่องง่าย
    • ฟังดูประชดนิด ๆ แต่เมื่อก่อนมันเคยเป็นตัวเลือกที่ราคาถูก และบางทีก็แค่ใช้งานต่อมาเรื่อย ๆ
      หลัง Google Domains ถูกขายต่อ ผมเองก็ใช้ Squarespace บ่อยขึ้น เพราะราคาพอใช้ได้และที่สำคัญคือมันใช้งานอยู่แล้ว
      ต่อให้มีเครื่องมือที่ดีกว่า การย้ายก็ต้องใช้เวลา เสี่ยงให้ลูกค้าหยุดชะงัก และเพิ่มความเครียด
      ไม่ใช่ว่าผมตั้ง VPS ไม่เป็น แต่แค่ไม่มีเหตุผลมากพอจะเสียเวลาไม่กี่ชั่วโมงแบบไม่ได้ค่าใช้จ่าย
      กรณีนี้ก็อาจคล้ายกัน Lee อาจเก่งมากก็ได้ แต่แค่มี foot gun ที่นอนอยู่เงียบ ๆ มานานแล้วเพิ่งมาระเบิดทีหลัง
      ไม่ใช่เรื่องในอุดมคติ แต่ในโลกจริงเกิดขึ้นได้มากพอสมควร และอย่างน้อยเหตุการณ์นี้ก็ทำให้ผมชัดเจนขึ้นว่าจะหลีกเลี่ยงผู้ให้บริการรายไหนในอนาคต
    • ต่อให้ดูทางเลือกทั้งหมดที่มีคนแนะนำที่นี่ ก็ไม่มีใครบอกได้หรอกว่าในอีก 5 ปีข้างหน้าเจ้านั้นจะไม่เกิด enshittification, ไม่ถูกขายให้ PE สายรีดกำไร, ไม่แทนที่ซัพพอร์ตด้วย AI หรือไม่ลดคนลง 40%
      27 ปีเป็นเวลาที่ยาวนานมาก
      ผู้ดูแล IT ที่เก่งสามารถวางแผนสำรองสำหรับเหตุขัดข้องที่คาดการณ์ได้ แต่ไม่สามารถควบคุมความผิดพลาดระดับ registrarได้
      แม้แต่บริษัทอย่าง MarkMonitor ที่ขายตัวเองว่าเป็น bulletproof domains ก็ยังเคยทำพลาดครั้งใหญ่
      และการบอกว่าให้จดโดเมนใหม่กับ X นั้นง่าย แต่การจะไปบอกให้ย้ายโดเมนเก่าออกจาก Y นั้นยากกว่ามาก
    • งั้นควรเอาโดเมนไปไว้ที่ไหนถึงจะดีกว่า
    • ผมไม่เข้าใจว่าทำไมถึงบอกว่ามันไม่เข้ากัน
      อย่างน้อย GoDaddy ก็เป็นregistrar ที่ได้รับการรับรองอย่างเป็นทางการ และลูกค้าก็เปิด MFA สองชั้น ไว้แล้ว
      ลูกค้าทำทุกอย่างที่ตัวเองทำได้แล้ว
      ผมเคยได้ยินว่า GoDaddy ทำพลาดแปลก ๆ มาก่อน แต่ไม่เคยเห็นการ ย้ายผิดแบบเพี้ยนสุด ๆ ระดับนี้
      ในสถานการณ์แบบนี้ การโทษเหยื่อก็ไม่ต่างจากบอกว่าคุณไม่ล็อกประตูเอง ถ้าโดนขโมยก็เป็นความผิดคุณ
      คนที่ละเมิดกฎคือ GoDaddy และลูกค้าจ่ายเงินก็เพื่อคาดหวังว่ากฎนั้นจะถูกปฏิบัติตาม
      ถ้าโน้มไปทางโทษเหยื่อ ปกติก็มักยืนอยู่ฝั่งที่ผิด

  • แค่เรื่องโอนโดเมนผิดก็ไร้ความสามารถพอแล้ว และถ้าดำเนินการแบบนั้นโดยไม่มีเอกสารที่จำเป็นสักชิ้น ก็ถือเป็นความประมาทชัดเจน
    มันร้ายแรงทุกชั้น

    • ตอนที่เจ้าของเดิมเปิดทิกเก็ตเข้ามา ก็ยังไม่ยอมรับความผิดหรือรีบแก้ให้ทันที ยิ่งแย่เข้าไปอีก
    • พอคิดถึงผลกระทบเป็นลูกโซ่ที่การย้ายแบบนี้ก่อได้ ก็ยิ่งน่าหวาดเสียวมาก

  • เพราะงั้นผมเลยชอบ registrar ที่ถึงจะไม่ใหญ่มากแต่รับผิดชอบอย่าง porkbun มากกว่า
    ยิ่งหลังจากเคยเสียโดเมนให้กับ registrar สาย “cheap name” มาก่อนก็ยิ่งเป็นแบบนั้น
    นี่เป็นแค่ประสบการณ์ส่วนตัว และผมไม่มีผลประโยชน์เกี่ยวข้องกับสองเจ้าที่พูดถึง

  • GoDaddy พิสูจน์ตัวเองมานานแล้วว่าเป็นบริษัทที่เสื่อมทราม
    ถ้าลูกค้าจ่ายเงินไม่ทัน มันก็จะยึดโดเมนนั้นไว้แล้วเอาไปเปิดประมูลใหม่พร้อมบวกราคาแบบโหด ๆ และเรื่องแย่ ๆ ทำนองนี้ก็มีอีกเยอะ
    โดเมนหลักของผมยังอยู่กับ nic.ddn.mil / rs.internic.net หรือก็คือเครือ Network Solutions ในปัจจุบัน
    สมัยก่อนอย่างน้อยยังมีจริยธรรมประมาณว่าจะให้โดเมนได้แค่หนึ่งโดเมนต่อหนึ่งสถานที่จริงเพื่อคนรุ่นหลัง แต่พอบริษัทยาแห่งหนึ่งจะซื้อทีเดียวราว 90 โดเมน จริยธรรมนั้นก็หายไปทันที
    ถึงอย่างนั้น แม้แต่กระบวนการโบราณที่แทบไม่พัฒนาเลยตลอดหลายสิบปีหลังเริ่มมีรายได้ ก็ยังให้ความรู้สึกน่าเชื่อถือกว่า GoDaddy
    ในหมู่คนที่รู้จักกัน GoDaddy เป็นมุกตลกที่ทุกคนรู้กันมานานมากแล้ว