你是一家營運了 27 年的公司,全美 20 個據點的信箱和網站都繫在同一個網域名稱上。這 27 年來,從沒出過事。然後某個星期六下午,你在 GoDaddy 帳戶裡的域名消失了。
沒有任何警告。沒有通知。你的網站掛了。郵件伺服器回傳連線失敗。客服說「我們在處理,請等 48 到 72 小時」。然後每一天,他們換一個說法。第四天,他們告訴你:域名已經不是你的了。
這不是科幻電影的情節。這發生在一個真實的美國 IT 公司—Flagstream Technologies 的客戶身上。Flagstream 合夥人 Lee Landis 親手處理了這樁荒謬至極的域名失竊案。而他在整個過程中學到的事,比任何一篇資安指引都來得血淋淋。
一個星期六的下午,一切消失
事情發生在一個再普通不過的週六午後。Lee Landis 發現客戶的網域 HELPNETWORKINC.ORG(化名)從 GoDaddy 帳戶中消失無蹤。
這不是一個被忽視的帳戶。這個帳戶啟用了雙重驗證——需要同時輸入電子郵件驗證碼和驗證器應用程式碼才能登入。域名本身也開啟了所有權保護功能。Lee 本人是他認識最專業的 IT 人員之一。
然而帳戶稽核日誌只寫了一行:「Transfer to Another GoDaddy Account」,由「Internal User」執行,且「Change Validated: No」。
該域名已被原組織使用了 27 年。全美 20 個分點的網站和郵件都仰賴這個主域名下的子域名運作。HELPNETWORKINC.ORG 一掛,所有分點同時停擺。
GoDaddy 的電子郵件記錄顯示,下午 1:39 送出帳戶復原請求,1:42 發起轉移,1:46 轉移完成。前後七分鐘。GoDaddy 內部系統完成了所有操作——不包含任何外部驗證。
更諷刺的是,GoDaddy 在將域名移入新帳戶時,還自動將 DNS 區域重設為預設值。也就是說,即使域名本身被轉走,如果 DNS 紀錄還在,影響還不至於這麼大。但 GoDaddy 順手清空了所有設定。同一個名稱伺服器,但區域檔案完全是空的。
四天、32 通電話、9.6 小時通話、零回電
接到通報後,Lee 開始了他漫長的 GoDaddy 客服馬拉松。
第一天:星期日
Lee 打電話給 GoDaddy。客服確認域名已不在他的帳戶中,但「基於隱私考量」無法透露去了哪裡。客服叫他寫信到 undo@godaddy.com。他寫了。沒有回應。
他要求找主管。主管比客服更不幫忙。Lee 可能在這通電話中說了某些不太好聽的話——但他說,那是被逼出來的。這第一通電話總共持續了 2 小時 33 分鐘 14 秒。
第二天:星期一
Lee 和同事正式開始認真處理這件事。打電話進去,換了一個客服,叫他們寫信到 transferdisputes@godaddy.com。
第三天:星期二
地址又換了,變成 artreview@godaddy.com。每天的指示都不同。感覺每個 GoDaddy 客服人員都有不同的建議。
唯一不變的是那句回覆:「等一兩天就好,我們在處理。你為什麼覺得這麼急?」
在這段過程中,Lee 注意到一個令人沮喪的模式:所有與 GoDaddy 的正式溝通,都是透過泛用名稱的電子郵件帳號進行的。沒有一個指定的負責人。沒有一個名字可以追蹤。每天換一個信箱。每次來電產生一個新的案件編號。Lee 手上有至少 7 個不同的案件編號:01368489、894760、01376819、01373017、01376804、01373134、01370012。沒有任何一個在 GoDaddy 端是相互關聯的。每次升級都是從零開始。
第四天:星期三下午
在四天的等待之後,Flagstream 終於收到 GoDaddy 的官方書面回覆。一封電子郵件,內容如下:
經過調查,我們確定域名註冊人提供了必要的文件以啟動帳戶變更。GoDaddy 現在認為此事已經結案。
沒有說明是什麼文件。沒有說明對方提供了什麼。建議的後續行動是三個連結:WHOIS 查詢、ICANN 仲裁機構頁面、找律師打官司。
就這些。四天的等待,32 通電話,9.6 小時的通話時間,17 封電子郵件——最終得到的結果是一個自動化風格的結案通知。
問題的核心:GoDaddy 的驗證機制出了什麼問題?
這不是一個普通用戶的帳號遭駭。我們來細數 GoDaddy 到底在哪幾個環節出了問題:
1. 雙重驗證形同虛設
按照一般假設,GoDaddy 的「帳戶復原」程序應該是為了讓真正的主人找回被鎖的帳戶。但在這個案例中,「帳戶復原」被用來將域名轉移到第三方帳戶——而且沒有觸發任何警報或延遲。
如果一個啟用了雙重驗證的帳戶,可以透過「內部用戶」的操作繞過所有驗證機制,那這個雙重驗證的意義在哪裡?
2. 域名保護產品毫無作用
Lee 的客戶購買了 GoDaddy 的「Full Domain Privacy and Protection」安全產品。這個產品的核心賣點正是防止未經授權的域名轉移。但在實際事件中,它沒有任何作用。
3. 沒有保留稽核軌跡
Lee 的朋友 Austin Ginder 在社交平台上公開求助後,一名在 GoDaddy 工作的朋友 Courtney Robertson 在下班時間幫忙內部升級。但即使是內部員工,也無法快速解決這個問題。
Austin 的觀察一針見血:「GoDaddy 有很多像 Courtney 這樣的優秀員工,這一點沒有問題。有問題的是,GoDaddy 沒有一套辦法來真正修復已經發生的錯誤。案件堆積如山,電話重新開始,每次升級都是一個新的人從頭讀案件。你真正需要解決的問題不斷在各個佇列之間漂流。」
4. 支援流程的結構性問題
從 Lee 的經歷中,我們可以看到 GoDaddy 客服流程的結構性缺陷:
- 沒有事件歸屬:每次來電都是不同人,沒有人完整掌握案件全貌
- 不透明的處理過程:客戶只能等待,無法追蹤搜尋進度
- 不一致的指引:每天換一個聯絡信箱,客服人員給的建議不同
- 沒有升級管道:所有管道最終都導向同一種「48 到 72 小時」回應
這不是客服態度問題,而是系統性問題。當一個組織的客服流程無法處理邊界案例時,邊界案例中的受害者就只能自求多福。
這對台灣的網站經營者意味著什麼?
你可能會想:「我又不用 GoDaddy,這跟我沒關係。」
錯了。這個案例的教訓遠遠超越 GoDaddy 這一家公司。它暴露的是整個域名註冊產業的結構性風險。
教訓一:域名註冊商不是銀行
很多人把域名註冊商當成銀行來信任——認為只要正常付費、設定好安全選項,域名就永遠是你的。但實際情況是,域名註冊商的業務本質是「提供註冊服務」,而不是「保管資產」。
當發生爭議時,註冊商的 SOP 通常是先求結案,而不是先求正義。因為對他們來說,一個域名只是系統中的一筆記錄。對你來說,那是你整個網路業務的命脈。
教訓二:不要把所有雞蛋放在同一個籃子裡
這是老生常談,但大多數人還是違反了這個原則。Lee 的客戶把整個組織 20 個據點的全部郵件和網站都繫在同一個主域名之下。這個域名一旦出問題,所有分點同時停擺。
好的域名管理策略至少要做到:
– 主域名與 DNS 管理分開在不同的服務商
– 重要的次級域名有自己的獨立註冊
– 緊急情況下的備用域名已經預先註冊
教訓三:你要有逃生的備案
如果今天你的域名供應商突然告訴你「域名不是你的了」,你下一步要做什麼?
多數人沒有想過這個問題。因為域名移轉這種事就像火災——你永遠覺得不會發生在自己身上,直到某天真的發生。而當它發生時,你要花的不只是錢,還有時間、精力和客戶信任。
具體行動:防止域名被偷的六個步驟
你不需要等到被偷才開始準備。以下六件事,每個網站經營者今天就可以做:
1. 打開註冊商鎖(Registrar Lock)
所有主要域名註冊商都提供 Registrar Lock 功能(有時稱為 Transfer Lock)。開啟這個功能後,任何域名轉移請求都會被阻止,直到你手動解鎖。
檢查你的域名設定,確保這個功能是開啟的。這是最基本也最有效的保護。
2. 啟用強雙重驗證,但別只靠它
雙重驗證仍然很重要,但你不能把它當作唯一的安全防線。因為如果「內部用戶」或客服端可以繞過它,那它就跟沒有一樣。
真正的解決方案是:雙重驗證 + 第三方通知機制。也就是當任何重大變更發生時,除了 Email 通知之外,最好還有一個獨立的通知管道(如 SMS 或推播通知)。
3. 保持域名和 WHOIS 資料更新
舊的、不準確的 WHOIS 資料會讓你在爭議中處於劣勢。GoDaddy 在回覆中提到的「必要文件」很可能包含身份證明文件。如果你的 WHOIS 資料是過時的,你連證明誰是真正所有者的第一步都跨不過去。
每年至少檢查一次所有域名的 WHOIS 記錄,確保聯絡信箱和地址仍然有效。
4. 建立域名管理 SOP
如果你的組織擁有多個域名,建立一套管理流程:
– 誰有權限發起域名移轉?
– 發生爭議時的聯絡管道有哪些?
– 備用域名列表
– 緊急情況下的網頁備用方案
把這些寫下來,放在團隊可以存取的地方。不要等到事情發生才開始想。
5. 避免單一供應商綁定
DNS 管理、域名註冊、郵件服務最好分散在不同供應商。這不是對特定供應商的不信任,而是基本的風險分散原則。
如果你全部的服務都綁在同一家註冊商,一旦它出問題,你沒有任何退路。
6. 自建 DNS 備援
對於關鍵業務,考慮使用次要 DNS 服務。像 Cloudflare、AWS Route53 或 Hetzner 都提供備援 DNS 服務。即使主域名註冊商出問題,備援 DNS 至少能讓你的網站持續在線。
那些 GoDaddy 應該做但沒做的事
這個案例不只是給使用者的教訓,也是給整個域名產業的警鐘。
GoDaddy 在處理這個事件時,犯了幾個根本性的錯誤:
- 沒有事件編號追蹤機制:每次通話生成新案件編號,之間沒有任何關聯
- 沒有指定專人負責:整個過程中,Lee 沒有跟同一個客服人員講過兩次話
- 沒有即時通訊管道:除了打電話和等 Email,沒有任何即時溝通方式
- 結案背後沒有解釋:最後的「結案」通知完全沒有說明是誰、用什麼文件、透過什麼程序拿走了域名
對於一個每年營收超過 40 億美元、託管超過 8,000 萬個域名的公司來說,這樣的處理水準令人難以置信。
這並不代表 GoDaddy 是一個壞的服務商——它有好的產品、好的員工。但當邊界狀況發生時,它的流程無法承接。而對於域名這種一旦出錯就會造成極大損害的資產來說,「邊界狀況」其實一點也不邊緣。
最後的觀察
Lee Landis 最終決定將客戶遷移到新的域名。新的郵件地址、新的網站地址、協調 20 個分點全部完成轉移。一切歸零,但至少可以重新開始。
而那個用了 27 年的域名,現在在一個陌生人手上。沒有人知道對方是誰。沒有人知道他們是怎麼拿到的。GoDaddy 說「結案了」。
在數位世界,我們習慣了便利,習慣了相信供應商會保護我們的資產。但這個事件告訴我們,有時候最脆弱的地方不是你設定的密碼,也不是你安裝的防毒軟體,而是那條在沒有人注意的星期六下午,從內部系統完成的一行指令。
域名不只是網址。它是你花了 27 年累積的數位資產。如果連 GoDaddy 的完整保護方案都擋不住一個「內部用戶」的七分鐘轉移,那你最好開始思考:萬一這發生在你的域名上,你的下一步是什麼?
答案可能不是「跟客服吵架」,而是你今天就該開始準備的那個備用方案。