godaddy账号以及域名被盗找回经历以及网络信息安全的思考

本案涉及到公司的一些机密信息，因此涉及到机密信息，我都将会用一些其他的代号进行替代。不影响读者理解本案。我会按照时间顺序讲述本案经过，是如何一步步找回godaddy账号的。

我供职的公司是一家网络科技公司，员工基本就是开发，网络，以及客服三类人组成。公司规模不大，员工大概60人左右，对于网络安全几乎没有意识，员工入职并没有任何的培训和考核，也没有定期的安全培训和考核。管理制度完全空白，导致我们被黑客入侵，损失颇多。

案发之前，我们开发员工电脑上保存了我们系统的重要账号和密码文件，还包括关联的上一级供应商的后台管理账号和密码，全部保存在一个Excel文件中，Excel没有加密，密码明文填写在表格。这样做也是方便网络和客服同事使用。这自然是一个很大的安全隐患。网络同事电脑上保存了所有域名管理账号的用户名和密码，DNS的用户和密码，全部在一个Excel文件，密码明文，Excel没有加密。同样，这也是一个很大的隐患。为什么没有安全措施呢？大家都觉得黑客离我们很远，无所谓。可见，应对盗号者，黑客，最重要的是提高安全意识。

2018-1-16 案发 有客户投诉，某用户活动不正常，流水不对。我们开发部门检查，发现玩家账号多出很多余额。经过和上一级供应商沟通，发现是通过上一级供应商的后台修改的余额。

2018-1-16 开会 猜测 内部人员非法操作导致 应对措施:提交所有的账号，专人管理修改密码，锁定权限

2018-1-16 晚上 有客户投诉 域名指向异常 网络同事 检查域名指向，发现godaddy 以及DNS 账号登录失败。遂发现账号被盗，失去对域名的控制权。 随即怀疑办公室电脑被入侵，紧急联系开发人员来办公室修改数据库密码，系统参数等，防止黑客盗取数据。

2018-01-17 凌晨 此时已经是凌晨 ，在开发人员进行紧急处理的时候，客服控制的一个Skype突然给一个内部的群组发了一个文件，同时三个人点击了这个文件，当时电脑360提示报毒，同事点击确定处理。

客服报告，之前接受过一个客户的Skype发过来的类似文件，电脑黑屏失去控制，重装了系统，没有处理当时接受这个文件的Skype账号。此时Skype账号已经被盗，并且正在向所有好友发送木马文件。客服部门的Skype账号密码也是放在一个Excel表格，怀疑已经丢失。

至此，我们丢失了域名的管理账号，DNS管理账号，SKYPE账号和密码，我们自己系统一系列账号和密码，同时怀疑代码等也已经被盗，事态严重。

2018-1-17 白天上班，晚上老板过来，脸色都黑了，一个客户已经和黑客取得联系，勒索该客户一个godaddy账号，需要支付赎金。经过商议同意交易。黑客声称当晚不再对我们下手，让先完成交易，第二天晚上会对我们动手。

同时我们已经在联系美国godaddy，想办法找回。打电话，被要求提交表单，等待72小时回复。所幸当晚与godaddy在线客服反复沟通，并且多次重复尝试登陆账号，godaddy锁定了我们的所有的godaddy账号。争取了时间。

2018-1-18 准备了要求的文件，提交表格，发送邮件。晚上电话沟通godaddy，收效甚微。

2018-1-19 收到邮件回复，提示不能验证我们是注册人或者注册人的授权。同时我们发送邮件给godaddy，打电话给godaddy客服。不同人给出了不同的回答，有的人让联系change，有的人说是payment,有的说undo。我们给所有提到的邮件发送了邮件。

2018-1-21 收到回复：

Thanks for sending your photo ID. Unfortunately, it doesn’t include your address. 

To continue processing your request, please provide some additional documentation that includes an address matching the one listed in the registration/account information. Examples could include (but are not limited to) a utility bill, rental agreement or a government-issued photo ID. You can feel free to block out information such as the height, weight, eye color and the license number (only on a drivers license or state issued identification card).

Sorry for the inconvenience. We’ll contact you once we’ve received your information to let you know if anything else is required or if you’re good to go.

由于护照上没有详细地址，我们遂提供了有地址的驾照给godaddy。以及我们的账单，支付记录等。

随后收到回复，需要提供真人照片，真人要手持证件。遂第二天匆匆准备，中午发送过去。

2018-1-25 打电话给客服，前几次都是好说歹说，这次不再好言相劝，而是一股脑发泄心中的怒火，说好的72小时回复，到目前一点动静都没有，和godaddy客服大吵一架。

挂了电话，又重新打，这一次，是一个女客服，讲了事情的原委，她屡次让我等五分钟，说要和change department查询核实，最后竟然告知，可以发充值密码邮件了。心里一下子高兴的不得了。随后收到了邮件，点开重置密码，却遇到了难题，黑客开启了双因子验证。

又反复和客服沟通，她又暂停通话，去和change department 沟通，一会儿就收到了双因子验证取消的邮件。终于重新重置了密码，进去马上修改了电话，开启了双因子验证。

到2018-1-27 陆陆续续找回余下的账号。反反复复沟通无数次，电话费用花销不少。期间感触最深的是语言障碍，虽然双方都是英语，当时不同人还是会有误解，不能完美理解你的表达。

值得一提的是我们也参考了网络上的一些找回经验（都是说无法找回账号，只能尝试找回域名），

• Godaddy 账号被盗始末及教训 https://www.jiechic.com/godaddy-account-stolen-the-whole-story-and-lessons/ 2013-4
• godaddy域名被盗找回过程 http://riny.net/2015/domain-stolen/ 2015-1
• 木马分析 https://zhuanlan.zhihu.com/p/29773122
• 谨防域名管理账户被盗 特别是Godaddy的账户 http://www.mimidi.com/beware-godaddy-account-theft/

同时也咨询了淘宝上的找回服务，基本不可靠：

一个域名500，基本费用6000.不保证找到，还要求注册域名的姓名是我们可以提供证件的姓名。我们有几百个域名，一半是没有填写真实姓名的，同时也告知我们，无法找回账号，只能找回域名。

经过本次折腾，我们总结如下经验给大家：

如果godaddy账号被盗，按照如下步骤操作：

1. 联系客服锁定账号
2. 准备所需要的材料，护照，表格，账单等一切能够证明身份的文件。有时候客服也会问使用的邮箱地址，付款的银行卡卡号，都是很重要的信息。
3. 提交表单，并且发送邮件
4. 等待回复，同时反复与电话客服沟通，催促处理
5. 收到邮件，按照邮件提供所需文件，如果邮件告知不能验证是所有人，直接打电话联系，并回复邮件，提供更多的证件和证据。
6. 在处理阶段，例如发动了重置的链接等，操作有问题理解打电话给客服，让客服实时处理，不要挂断电话。确保处理完成，找回了账号，在挂断电话。

当然，处理这些不仅需要缜密灵活的思维，需要可以和美国人沟通的说英语的人，也需要擅长写邮件的人。反反复复沟通，拿出证据链，自然可以让godaddy证实你就是所有者，即可找回密码。即使账号关联的邮箱和电话已经被黑客更改，godaddy还是可以发送重置邮件给你之前绑定的邮箱。

回顾：

本案提示我们，安全无小事，每个科技公司的员工都应该注重安全意思，安全思维，即使报告疑似黑客行为，安装杀毒防毒软件，对于可疑文件要提高警惕。重要的账号和密码需要加密存放，账号能够开启双因子认证的一定要开启。

godaddy的系统虽然有如下缺点：

1、Godaddy账户的用户名是可以修改的，这个设计是最SB的，用户名改了，也意味着很多类似找回密码之类的措施你用了，因为你无法知道这个账户现在的用户名是什么，然后还有更SB的，Godaddy账户改用户名是不用验证的，只要黑客成功进去你的账户一次，就可以在你知情之前把账户名改掉，这样你无法通过找回密码等安全措施来追索了；

2、Godaddy账户的邮箱修改起来也不用任何验证，以上第1点，一般来讲，修改邮箱这种高权限的动作，都会要求通过原邮箱验证，但是SB并且不负责任的Godaddy（因为这个问题被盗的域名多了去了，Godaddy仍然无动于衷）既然设置为可以直接修改；

3、Godaddy账户里面的PIN码大家很少用吧？Godaddy称之为安全码，当你跟Godaddy的客服联系时，不管屁大的事，他都会要求你提供这个PIN码来确定你的身份。假如你觉得这个PIN是你最后的救命稻草的话，你就大错特错了！这个PIN码这么重要，在Godaddy账户里，竟然是显示出来可见的！

但是，他确确实实提供了双因子验证，只要你开启，就可以和支付宝一样安全。所以，请开启这些双重验证吧。

charles