GoDaddy ने बिना किसी दस्तावेज़ के एक डोमेन किसी अजनबी को ट्रांसफ़र कर दिया

 (anchor.host)
4 पॉइंट द्वारा GN⁺ 3 일 전 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • 27 साल से चल रहा एक डोमेन बिना किसी पूर्व चेतावनी के दूसरे GoDaddy अकाउंट में चला गया, जिससे उससे जुड़ी वेबसाइट और ईमेल 4 दिनों तक बंद रहे
  • अकाउंट पर डबल 2FA सक्षम था और डोमेन प्रोटेक्शन भी लागू था, लेकिन audit log में Internal User द्वारा Transfer to Another GoDaddy Account चलाया गया दिखा और वेरिफ़िकेशन नहीं हुआ की स्थिति दर्ज थी
  • विवाद दर्ज कराने की प्रक्रिया में GoDaddy बार-बार अलग-अलग ईमेल पते और नए case number बताता रहा, और 4 दिन बाद यह कहकर मामला बंद कर दिया कि ज़रूरी दस्तावेज़ जमा कर दिए गए थे, लेकिन कौन से दस्तावेज़ थे यह नहीं बताया
  • वास्तविक रिकवरी GoDaddy टीम ने नहीं, बल्कि गलत तरीके से डोमेन पाने वाले व्यक्ति ने अपने अकाउंट में गलत डोमेन देखकर सहयोग किया, और अकाउंट-टू-अकाउंट ट्रांसफ़र के ज़रिए डोमेन 5 मिनट से भी कम समय में मूल अकाउंट में लौट आया
  • बिना दस्तावेज़ के ऐसा ट्रांसफ़र मंज़ूर हो जाना ईमेल हाईजैकिंग, password reset, payment route बदलने जैसे गंभीर सुरक्षा जोखिम दिखाता है, और भविष्य में भी इसी तरह के ख़तरे रोक पाना मुश्किल लग रहा है

घटना का सार

  • 27 साल से इस्तेमाल हो रहा डोमेन GoDaddy अकाउंट से बिना किसी पूर्व चेतावनी के दूसरे GoDaddy अकाउंट में चला गया, जिससे संबंधित संगठन की वेबसाइट और ईमेल 4 दिनों तक बंद रहे
    • अकाउंट पर डबल 2FA सक्षम था, और डोमेन पर GoDaddy की Full Domain Privacy and Protection लागू थी
    • audit log में Transfer to Another GoDaddy Account, executor के रूप में Internal User, और Change Validated: No दर्ज था
  • ट्रांसफ़र के तुरंत बाद GoDaddy ने DNS zone को default पर reset कर दिया, जिससे nameserver वही रहने के बावजूद zone file खाली हो गई और सारी सेवाएँ offline हो गईं
    • यह डोमेन अमेरिका भर में 20 शाखाओं द्वारा इस्तेमाल किया जाने वाला top-level डोमेन था, और हर शाखा की साइट और मेल उसी के subdomain पर निर्भर थे
  • अकाउंट रिकवरी अनुरोध वाला ईमेल शनिवार दोपहर 1:39 बजे आया, और 3 मिनट बाद ट्रांसफ़र शुरू, 4 मिनट बाद पूरा दर्ज हुआ
  • प्रभावित पक्ष ने 32 कॉल कीं, 9.6 घंटे बात की, और 17 ईमेल भेजे, लेकिन एक भी callback नहीं आया

GoDaddy की प्रतिक्रिया और विवाद निपटान

  • पहली पूछताछ में GoDaddy ने पुष्टि की कि डोमेन अब अकाउंट में नहीं है, लेकिन privacy का हवाला देकर यह नहीं बताया कि उसे कहाँ ट्रांसफ़र किया गया
  • हर बार संपर्क करने पर नया case number बनता गया, इसलिए पिछला इतिहास आगे नहीं जुड़ता था और हर escalation फिर से शुरू करनी पड़ती थी
    • लेख में 01368489, 894760, 01376819, 01373017, 01376804, 01373134, 01370012 जैसे वास्तविक case number दिए गए हैं
  • डोमेन विवाद cas.godaddy.com/Form/TransferDispute पथ से दर्ज किया गया, और अनुरोधकर्ता ने domain registrant name, driving license, और business documents जमा किए
    • हर सबमिशन पर जवाब के लिए 48~72 घंटे का अनुमान दोहराया गया
  • 4 दिन बाद GoDaddy ने सिर्फ इतना ईमेल भेजा कि registrant ने ज़रूरी दस्तावेज़ दे दिए थे, इसलिए अकाउंट बदलाव किया गया और मामला बंद कर दिया गया
    • कौन से दस्तावेज़ जमा हुए, इसका कोई विवरण अंत तक नहीं दिया गया
    • फ़ॉलो-अप में सिर्फ WHOIS lookup, ICANN arbitration provider, और वकील नियुक्ति से जुड़ा पेज के लिंक भेजे गए

सेवा ठप होना और अस्थायी रिकवरी कार्य

  • GoDaddy द्वारा मामला बंद बताए जाने के बाद, प्रभावित संगठन ने नए डोमेन पर आपातकालीन माइग्रेशन शुरू कर दिया
    • नई ईमेल address और नई वेबसाइट address पर रात भर स्विच करने का काम किया गया
  • पुराने डोमेन पर नियंत्रण न होने से सभी ईमेल address, marketing materials, और SEO से जुड़ी संचित परिसंपत्तियाँ प्रभावित होने लगीं
    • पुराने address पर भेजे गए ईमेल वापस लौटना तय था
    • प्रिंटेड सामग्री और बाहरी स्रोतों में मौजूद पुराना डोमेन सब गलत जानकारी बन गया
  • मूल डोमेन लौट आने के बाद, एक दिन पहले किए गए बदलावों को वापस करने के लिए ईमेल और वेबसाइट को फिर से मूल डोमेन पर स्विच करना पड़ा

वास्तविक कारण और रिकवरी का रास्ता

  • अगले दिन सुबह, प्रभावित संगठन के मुख्यालय से 2,000 मील दूर एक दूसरे व्यक्ति ने अपने GoDaddy अकाउंट में गलत डोमेन आने की बात देखी
    • वह व्यक्ति एक पूर्व कर्मचारी द्वारा इस्तेमाल किए गए दूसरे डोमेन को वापस पाने की कोशिश कर रहा था
  • उस व्यक्ति के साथ मिलकर GoDaddy का account-to-account transfer चलाया गया, और डोमेन 5 मिनट से भी कम समय में मूल अकाउंट में लौट आया, साथ ही DNS भी तुरंत रिकवर होने लगा
  • असली समाधान GoDaddy support team, dispute team, या CEO Office team ने नहीं, बल्कि गलती से डोमेन पाने वाले व्यक्ति ने समस्या पहचानकर सीधे संपर्क करके संभव बनाया

बिना दस्तावेज़ के मंज़ूर हुआ ट्रांसफ़र

  • गलत तरीके से डोमेन पाने वाला पक्ष उसी नेटवर्क की एक स्थानीय शाखा था और उसने 2 हफ्ते पहले GoDaddy से दूसरे डोमेन की रिकवरी का अनुरोध किया था
    • अनुरोध HELPNETWORKLOCAL.ORG के लिए था, लेकिन वास्तव में ट्रांसफ़र HELPNETWORKINC.ORG हो गया
  • उस व्यक्ति के ईमेल signature में HELPNETWORKINC.ORG की subdomain वेबसाइट शामिल थी, और लगता है कि GoDaddy की recovery team ने signature में दिख रहे parent domain को देखकर वही डोमेन अकाउंट में ट्रांसफ़र कर दिया
  • GoDaddy ने proof documents upload करने के लिए लिंक भेजा, लेकिन वह लिंक इस्तेमाल से पहले ही expire हो गया
    • नया लिंक माँगने के बाद भी, नया लिंक आने से पहले डोमेन ट्रांसफ़र approval ईमेल पहले आ गया
  • नतीजतन, उस व्यक्ति ने न तो मूल रूप से वापस पाने वाले डोमेन के लिए, न ही वास्तव में मिले डोमेन के लिए एक भी दस्तावेज़ जमा किया
    • इसके बावजूद GoDaddy ने 27 साल पुराने एक non-profit संगठन का डोमेन दूसरे अकाउंट में ट्रांसफ़र कर दिया और बाद में विवाद भी बंद कर दिया

सुरक्षा पर असर

  • लेख में कहा गया है कि अगर प्राप्तकर्ता दुर्भावनापूर्ण होता, तो ईमेल हाईजैकिंग, password reset, MFA code प्राप्त करना, phishing, malware वितरण, और payment route बदलना तक संभव था
  • जब तक प्रभावित संगठन को डोमेन का स्थान पता नहीं था, उसे सभी उपयोगकर्ताओं को महत्वपूर्ण सेवा अकाउंट्स से compromised डोमेन हटाने की तैयारी करनी पड़ी
    • इसमें बैंक, Amazon, IRS, payroll system, Dropbox, ईमेल अकाउंट, और यहाँ तक कि GoDaddy अकाउंट भी शामिल थे
  • बिना दस्तावेज़ के ऐसा ट्रांसफ़र मंज़ूर होना अपने आप में एक गंभीर सुरक्षा समस्या साबित हुआ

सुरक्षा रिपोर्टिंग चैनल की समस्या और आगे की कार्रवाई

  • प्रकाशन से पहले जाँच के नतीजे सीधे GoDaddy security team को भेजने के लिए security@godaddy.com पर मेल किया गया, लेकिन वह bounce हो गया
    • auto-reply में कहा गया कि वह mailbox अब मॉनिटर नहीं किया जाता, और विकल्प के तौर पर Abuse Reporting Form तथा https://hackerone.com/godaddy-vdp दिए गए
  • वही रिपोर्ट अंततः HackerOne पर जमा की गई, और लेख में report #3696718 का उल्लेख है
  • आधिकारिक चैनल काम न करना, और केवल वैकल्पिक रास्ता जानने वालों का ही सही व्यक्ति तक पहुँच पाना, इसी 4-दिन की आउटेज प्रतिक्रिया जैसे पैटर्न को फिर दोहराता है
  • मूल लेख के अनुसार माँगी गई आगे की कार्रवाई स्पष्ट है
    • Flagstream Technologies से किसी नामित ज़िम्मेदार व्यक्ति को सीधे संपर्क करना चाहिए
    • सामान्य public mailbox नहीं, बल्कि reply किए जा सकने वाला ईमेल address और फोन नंबर छोड़ना चाहिए
    • ट्रांसफ़र वेरिफ़िकेशन प्रक्रिया और बिना दस्तावेज़ के approval कैसे हुआ इसकी internal review होनी चाहिए

आगे की चिंता

  • प्रभावित पक्ष की सबसे बड़ी चिंता यह है कि जब तक डोमेन GoDaddy पर हैं, उसी तरह के ख़तरे को रोकने का कोई स्पष्ट तरीका नहीं दिखता
  • लेख में लिखा है कि Flagstream अपने सभी डोमेन GoDaddy से बाहर ट्रांसफ़र करने की बहुत संभावना रखता है
  • अगर आपके डोमेन GoDaddy पर हैं, तो आपको खुद जाँचना चाहिए कि अगर डोमेन अकाउंट से गायब हो जाए और पूरा बिज़नेस रुक जाए, तो आप कैसे प्रतिक्रिया देंगे

संबंधित पढ़ाई

2 टिप्पणियां

 
ndrgrd 3 일 전

हर बार ऐसी घटना देखकर मुझे लगता है कि क्या सिस्टम को इस तरह बनाना इतना मुश्किल है कि जहाँ ज़्यादा से ज़्यादा दस्तावेज़ पढ़े बिना भी बायपास या विफलता संभव ही न हो?
 
GN⁺ 3 일 전
Hacker News की राय

  • GoDaddy की बदनामी इतनी ज़्यादा है कि उसके लिए अलग Wikipedia लेख तक मौजूद है
    https://en.wikipedia.org/wiki/Controversies_surrounding_GoDaddy

  • GoDaddy का पुराना रिकॉर्ड इतना खराब है कि सिर्फ पिछले मामले गिना दें तो भी पूरा संदर्भ समझ आ जाता है
    Jan 2017: Godaddy has issued at least 8850 SSL certificates without validating anything
    Jan 2019: GoDaddy injecting JavaScript into websites and how to stop it
    Aug 2022: Tell HN: Godaddy canceled my domain, gave me 2h to respond, then charged €150
    Dec 2022: GoDaddy buying domains when they expire to extort their own users
    Jul 2023: Godaddy just stole my domain
    Jan 2024: Tell HN: GoDaddy Stole My Domain

    • 2011 में इसने SOPA का समर्थन भी किया था, और वह समर्थन आखिर तक वापस नहीं लिया
      https://www.reddit.com/r/technology/comments/npair/godaddy_has_not_withdrawn_its_official/
      यह हमेशा ऐसी कंपनी लगी जो तकनीक से ज़्यादा दिखावे पर चलती है, और तकनीकी स्टाफ भी बस तनख्वाह लेने वाला माहौल लगता था, जिसे ग्राहक या गुणवत्ता से खास मतलब नहीं था; असली चाल-चलन भी बिल्कुल वैसा ही निकला
    • इसकी बदनामी इतनी ज़्यादा है कि Wikipedia लेख अलग से है, लेकिन वहाँ भी और तुम्हारी सूची में भी देश-स्तरीय ब्लॉकिंग का ज़िक्र नहीं है
    • GoDaddy ने तो पूरे देशों को ब्लॉक तक किया था, और मुझे याद है कि एक समय यह ब्लॉक सिर्फ इसकी वेबसाइट पर नहीं बल्कि ग्राहकों की DNS सेवा पर भी लग गया था
      ऐसे में कुछ देशों से ग्राहक अपनी ही साइट तक नहीं खोल पाते थे
      कीमत महंगी है और वैल्यू बहुत कम, समझ नहीं आता लोग इसे क्यों इस्तेमाल करते हैं
    • पहला 2017 वाला SSL certificate लिंक गलत है, सही लिंक https://news.ycombinator.com/item?id=13377214 है
      अभी वाला लिंक इसी थ्रेड की ओर इशारा कर रहा है
    • पुराने Slashdot पर GoDaddy के बारे में खोज लो, वही काफी है
      जब मेरे पास पहला कंप्यूटर आया था, तभी से GoDaddy को NoDaddy मानने का माहौल था
      2000 के शुरुआती-मध्य दौर में प्रोग्रामरों को खुलकर स्त्री-विरोधी कहते सुना गया, ऐसे कुछ गिने-चुने मामलों में GoDaddy convention booth की बातें भी थीं, और वह आज तक याद है

  • पहली नज़र में यह अंदरूनी काम जैसा लगता है
    AWS में भी सब security settings ठीक होने के बावजूद मेरा अकाउंट compromise हुआ था, और बाद में पता चला कि वजह अंदरूनी contractors थे
    उससे पहले तक AWS बिना किसी सबूत के सिर्फ मुझे ही दोष देता रहा, और राज्य के attorney general के दफ्तर से संपर्क करने के बाद ही जांच शुरू हुई, तब जाकर managers ने मामले को गंभीरता से संभाला

    • लेख के अंत में इसकी व्याख्या दी गई है
      GoDaddy के एक दूसरे ग्राहक ने मिलता-जुलता domain transfer मांगा था, और उसी प्रक्रिया में उन्होंने गलत डोमेन ट्रांसफर कर दिया
    • यह किसी malicious insider की हरकत से ज़्यादा अयोग्य internal handling का मामला लगता है
      कर्मचारी ने प्रक्रिया का बिल्कुल पालन नहीं किया, और ईमेल भी इतनी बुरी तरह गलत पढ़ा कि किसी और ही डोमेन को ट्रांसफर कर दिया
    • यह व्याख्या मेल नहीं खाती
      आखिर इसे वापस इसलिए लाया जा सका क्योंकि जिस व्यक्ति को डोमेन मिला था, उसी ने GoDaddy support को सीधे बताया कि यह गलती से ट्रांसफर हुआ है
      इसे insider plot कैसे माना जा सकता है, समझ नहीं आता
    • अगर लेख ध्यान से पढ़ो, तो डोमेन उसी संगठन की एक regional chapter से जुड़े व्यक्ति को गया था, और उसने स्थिति समझकर मूल मालिक से संपर्क किया, तब मामला सुलझा
      किसी भी मायने में यह inside job नहीं लगता
    • कोई insider ऐसा क्यों करेगा कि जिस अनजान अकाउंट का उसे इस्तेमाल भी नहीं करना, उसमें कोई गलत डोमेन डाल दे?
      ऊपर से जिसे डोमेन मिला, वह खुद असली मालिक को लौटाने में लगा; ऐसे में इसे जानबूझकर की गई चोरी कहना मुश्किल है

  • पोस्ट में सभी ईमेल पते बेकार हो जाना, सारी marketing material गलत हो जाना, और SEO खत्म हो जाना — ये तीन बातें कही गईं, लेकिन मुझे लगता है कि इससे भी बड़ी बात छूट गई
    डोमेन खोते ही उन सभी online accounts के lockout की स्थिति बन जाती है, जहाँ suspicious login verification codes ईमेल से आते हैं
    बैंक, CRM और तरह-तरह की business services तक एक साथ बंद हो सकती हैं

    • सही बात, ईमेल-आधारित 2FA पहले से ही जोखिम भरा है, और जब registrar की अक्षमता भी जुड़ जाए तो और डरावना हो जाता है
    • कुछ साल पहले तक सब कुछ डोमेन ईमेल से बांधना सबसे अच्छा लगता था
      सोच यह थी कि जब तक डोमेन मेरा है, मैं उसे कहीं भी host कर सकता हूँ
      लेकिन ऐसे disaster scenario के बारे में सोचकर आखिर मुझे Gmail भी बैकअप में रखना पड़ा
      अच्छी बात यह है कि EU में अभी भी वास्तविक मालिक की पहचान को काफी अहमियत दी जाती है, इसलिए ऐसी गलती होने पर कुछ घंटों में मामला सुलझने की संभावना रहती है
    • इसका chain effect कल्पना से भी बड़ा हो सकता है
      अगर सब कुछ उसी ईमेल से जुड़ा हो, तो यह फोन या SIM खोने से भी ज़्यादा गंभीर हो जाता है; कुछ-कुछ विदेश में नंबर काम न करने जैसी स्थिति, लेकिन उससे भी बदतर
    • यही तो असली मुद्दा है, जो मेरे ध्यान में ही नहीं आया था
    • अगर यह targeted takeover होता, तो धोखाधड़ी के मौके बहुत बड़े होते
      ईमेल और बाकी संपर्क उसी डोमेन पर जा रहे होते, इसलिए कोई impersonator ऐसे जवाब देता रह सकता था जैसे कुछ हुआ ही न हो
      और भी डरावनी बात यह है कि अगर GoDaddy जैसे किसी ने npmjs.com जैसा कुछ यूँ ही सौंप दिया, तो कोई एक ही दिन में crypto billionaire बन सकता है

  • मेरा मानना है कि डोमेन को trademark के रूप में register कराना बेहतर है
    खर्च कुछ सौ डॉलर का होता है, ऑनलाइन भी किया जा सकता है, और फिर ICANN, domain hijacker, typosquatter, registrar या अदालत—सबके सामने आपका दावा कहीं ज्यादा मजबूत हो जाता है
    आप वकील के नाम से सख्त warning letter भेज सकते हैं, और support queue छोड़कर मामला जल्दी legal response तक पहुंचा सकते हैं
    ANIMATS®

    • क्या ही बेकार व्यवस्था है
      ज़्यादा पैसे दो, तो ownership defense भी मजबूत हो जाए—यानी यही खेल है
    • मैं एक domain registrar चलाता हूँ
      मेरी निजी राय में ऐसे विवादों में trademark को बीच में नहीं लाना चाहिए
      जैसे ही आप trademark claim उठाते हैं, डोमेन को बदलाव रोकने के लिए lock कर दिया जाता है, और आम तौर पर आपको UDRP दाखिल करने को कहा जाता है
      फैसला आने में कई महीने लग सकते हैं
      वकील का warning letter भी कुछ ऐसा ही है; बहुत सीमित परिस्थितियों को छोड़ दें, तो हम पर कानूनी जवाब देने के लिए पैसा खर्च करने की कोई बाध्यता नहीं होती
      लेकिन जैसे ही आप कानूनी अधिकार के आधार पर कोई specific action मांगते हैं, अंत में हमें यही कहना पड़ता है कि संबंधित court या औपचारिक प्रक्रिया में जाएँ
    • यह ऑनलाइन trademark registration कहाँ संभव है, जानना चाहूँगा
      कनाडा में तो लगभग वकील रखना ही पड़ता है, और कोविड के बाद backlog इतना बढ़ गया था कि registration के लिए 4 साल तक इंतज़ार करना पड़ता था
      अगर ऑनलाइन आसानी से हो सके तो वाकई अच्छा होगा
    • trademark होने पर भी कभी-कभी कोई खास फायदा नहीं होता
      मेरे मामले में US registered trademark था और समय के हिसाब से प्राथमिकता भी मेरी थी, फिर भी Facebook ने मेरी साइट बंद कर दी

  • 10 साल पहले की बात छोड़ो, आज भी लोग GoDaddy क्यों इस्तेमाल करते हैं, समझ से बाहर है

    • फिर भी यह दुनिया का सबसे बड़ा registrar है, और अंतर भी काफी बड़ा है
      बिज़नेस की नज़र से देखें तो सबसे मशहूर vendor चुनने की रणनीति अक्सर काफी काम करती है, क्योंकि आप मान लेते हैं कि उनके पास तरह-तरह की स्थितियों के लिए process होंगे
      इसलिए यह घटना और भी गंभीर लगती है
      डोमेन बिज़नेस के लिए बेहद महत्वपूर्ण हैं, लेकिन प्रति ग्राहक कमाई लगभग न के बराबर होती है—यह अजीब उद्योग है
      पूरी infrastructure इस पर टिकी होती है, फिर भी सालाना कमाई शायद $15 के आसपास, और support request एक बार आ जाए तो ग्राहक तुरंत unprofitable हो सकता है
    • आजकल डोमेन खरीदने वालों में ज़्यादातर non-technical users होते हैं, और सच कहें तो यह काफी समय से ऐसा ही है
      अगर 100 लोगों से पूछो कि डोमेन कहाँ से खरीदते हो, तो GoDaddy का नाम भारी अंतर से सबसे ऊपर आने की पूरी संभावना है
      brand controversies या security incidents के बारे में उनमें से ज़्यादातर को कुछ पता भी नहीं होगा
    • सही है
      काबिल IT स्टाफ वाली बात पढ़कर मुझे भी थोड़ा हँसी आई
      GoDaddy के बारे में अच्छी बातें मैंने लगभग कभी नहीं सुनीं
    • उम्मीद से कहीं ज़्यादा enterprise GoDaddy इस्तेमाल करते हैं
      और managed hosting support हैरानी की बात है कि काफ़ी ठीक-ठाक है
      मुझे खुद इसकी service पसंद नहीं, लेकिन मेरे कुछ clients इसका इस्तेमाल करते हैं, और server issues पर support अक्सर जल्दी ठीक कर देता था, जो मेरे खुद हाथ लगाने से कहीं आसान पड़ता था
      कम से कम अब तक तो यह offshore outsourced support नहीं बल्कि local support रहा है
    • domain registration अक्सर बिज़नेस के शुरुआती दौर में होती है, और हो सकता है कि यह founder का पहला ठोस कदम हो
      अगर founder technical न हो, तो वह बस Google पर buy a domain खोजेगा और जो पहले दिखेगा वहीं चला जाएगा
      बाद में जब IT setup mature होता है, तब बेहतर provider पर जाना चाहिए, लेकिन registration कई साल की होती है, auto-renew भी लगा होता है, और अगर सब बिना समस्या चल रहा हो तो लोग सैद्धांतिक जोखिमों से ज़्यादा सामने के कामों को प्राथमिकता देते हैं

  • सच कहूँ तो, कुशलता और ग्राहक का डोमेन GoDaddy पर रखना—ये दोनों बातें साथ ठीक नहीं बैठतीं

    • बहुत से लोग DNS और बाकी सेवाएँ भी एक ही registrar से बंधी हुई रखते हैं
      यह गलती है, लेकिन बहुत आम pattern भी है
      जब सब ठीक चल रहा हो, तब ऐसे ग्राहक को DNS, hosting, ईमेल—सब migrate करने के लिए मनाना आसान नहीं होता, जिसे अब तक कोई दिक्कत ही नहीं आई
    • सुनने में थोड़ा तंज़ जैसा लगेगा, लेकिन एक समय यह सस्ता विकल्प था, और लोग बस उसी पर बने रह गए होंगे
      Google Domains के बदलने के बाद मैं भी Squarespace ज़्यादा इस्तेमाल कर रहा हूँ, क्योंकि कीमत ठीक है और सबसे बड़ी बात—वह पहले से चल रहा है
      हो सकता है बेहतर tools हों, लेकिन migration में समय, ग्राहक downtime का जोखिम और तनाव—सब लगता है
      बात यह नहीं कि मैं VPS नहीं चला सकता; बात यह है कि उन कुछ घंटों के लिए मुझे पैसे नहीं मिलेंगे, इसलिए समय लगाने का ठोस कारण नहीं बनता
      यहाँ भी शायद कुछ ऐसा ही हुआ होगा; Lee बहुत सक्षम हो सकता है, लेकिन सालों से पड़ा हुआ foot gun आखिर देर से फट गया
      आदर्श नहीं है, लेकिन वास्तविक दुनिया में ऐसा खूब होता है, और कम से कम इस घटना के बाद मुझे यह और साफ़ हो गया कि किन providers से दूर रहना है
    • यहाँ सुझाए गए सारे विकल्प देख लेने के बाद भी, कोई यह गारंटी नहीं दे सकता कि अगले 5 साल में वही कंपनी enshittification का शिकार नहीं होगी, किसी predatory PE को नहीं बिकेगी, support AI से replace नहीं हो जाएगा, या staff 40% कम नहीं कर दिया जाएगा
      27 साल बहुत लंबा समय होता है
      एक सक्षम IT व्यक्ति अनुमानित failures के लिए backup plan बना सकता है, लेकिन registrar-level की गलती को नियंत्रित नहीं कर सकता
      MarkMonitor जैसी कंपनी, जो खुद को bulletproof domains कहकर बेचती है, वह भी बड़ा हादसा कर चुकी है
      और किसी नए डोमेन को X में register कराने की सलाह देना आसान है, लेकिन पुराने डोमेन को Y से निकालने के लिए मनवाना कहीं मुश्किल है
    • तो फिर डोमेन किसके पास रखना बेहतर होगा?
    • मुझे समझ नहीं आता कि यह मेल नहीं खाता क्यों कहा जा रहा है
      GoDaddy आखिर मान्यता प्राप्त registrar है, और ग्राहक ने dual MFA भी चालू कर रखा था
      ग्राहक ने अपनी तरफ से जो कुछ हो सकता था, सब किया
      GoDaddy की अजीब गलतियों के किस्से सुने थे, लेकिन इस स्तर का हैरतअंगेज गलत transfer पहली बार देखा
      ऐसी स्थिति में पीड़ित को दोष देना वैसा ही है जैसे कहना कि दरवाज़ा लॉक नहीं था, इसलिए चोरी की जिम्मेदारी उसी की है
      नियम GoDaddy ने तोड़े, और ग्राहक पैसे ही इसलिए देता है कि उन नियमों का पालन हो
      victim blaming की तरफ झुकना आम तौर पर गलत पक्ष में खड़े होना है

  • गलत डोमेन transfer अपने आप में ही अक्षमता है, और अगर वह बिना एक भी जरूरी दस्तावेज़ के हुआ, तो यह साफ़ तौर पर लापरवाही है
    कई स्तरों पर मामला बेहद गंभीर है

    • असली मालिक ने ticket उठाने के बाद भी गलती स्वीकार न करना या तुरंत ठीक न करना तो और बुरा था
    • ऐसे transfer के downstream effects के बारे में सोचकर ही सिहरन होती है

  • इसलिए मैं, चाहे वह बहुत बड़ा न हो, लेकिन जिम्मेदार registrar जैसे porkbun को ज्यादा पसंद करता हूँ
    पहले एक “cheap name” किस्म के registrar में डोमेन खोने के बाद से तो और भी
    यह सिर्फ निजी अनुभव है, और जिन दो कंपनियों का नाम लिया, उनसे मेरा कोई हित-संबंध नहीं है

  • GoDaddy बहुत पहले ही खुद को भ्रष्ट कंपनी साबित कर चुका है
    अगर ग्राहक समय पर भुगतान न करे, तो यह डोमेन को रोककर रखता था और फिर भारी प्रीमियम लगाकर दोबारा auction में डाल देता था; ऐसी घटिया हरकतें एक-दो नहीं हैं
    मेरा मुख्य डोमेन आज भी nic.ddn.mil / rs.internic.net, यानी आज के Network Solutions से जुड़े सिस्टम में ही है
    पहले कम-से-कम यह नैतिकता तो थी कि भविष्य की पीढ़ियों के लिए हर physical site पर सिर्फ एक डोमेन दिया जाए, लेकिन जैसे ही किसी pharma company ने एक साथ करीब 90 खरीदने की कोशिश की, वह नैतिकता तुरंत गायब हो गई
    फिर भी, आमदनी का स्रोत मिलने के बाद दशकों तक सुधार न किए गए उस पुराने process पर भी मुझे GoDaddy से ज़्यादा भरोसा होता है
    जानकार लोगों के बीच GoDaddy बहुत पहले से ही एक चलता-फिरता मज़ाक रहा है