Hijacking-hul hos DK Hostmaster
»De har haft mulighed for at hijacke et domænenavn på den måde, det må vi erkende,« siger Per Kølle, administrerende direktør for DK-Hostmaster.
En fejl hos både websidefirmaet Danaweb og hos DK-Hostmaster betød, at en domænekunde måtte se sine domæner skifte navneserver og kontakt-email, uden at han blev spurgt.
Det kunne ske, fordi både Danaweb og DK-Hostmaster lod en ændring gå igennem uden at tjekke detaljerne.
»De har kigget på domænenavnet og kundens navn, som var det samme, og så set at vejnavnet var det samme, men har ikke tjekket husnummeret,« forklarer Per Kølle.
Hos DK-Hostmaster bliver fejlen heller ikke opsnappet, da selskabet som udgangspunkt tager oplysningerne fra domæneregistratorer for gode varer. Derfor bliver der heller ikke sendt en e-mail ud til kunden, inden der sker ændringer.
»Vi stoler på, at registratoren har undersøgt sagen, inden de sender en anmodning. Det ligger implicit i vores kontrakt med dem, og vi har simpelthen ikke overvejet den situation, at vores registratorer ikke tjekker tingene godt nok,« siger Per Kølle.
Hos Danaweb, som sendte den famøse anmodning, erkender man også fejlen.
»Der er sket en menneskelig fejl, hvor vi må have troet, at det var vores kunde, der havde domænet. Der sker en fejl både hos os og hos DK-Hostmaster, og det er beklageligt,« siger Brian Hansen, der er domæneansvarlig hos Danaweb.
Nabohjælp med følger
Kunden, der måtte se sine domæner blive flyttet for næsen af sig, er Version2-blogger Peter Toft. Han tilbød tilbage i 2006 hjælp, da hans nabo gerne ville have en webside til et lille entreprenørfirma. Peter Toft registrerede derfor et domænenavn til naboen og stod selv som ejer af domænet, som naboen bruger.
Da naboen i januar 2008 så besluttede at få en ny webside fra Danaweb, flyttede webfirmaet naboens domæne til deres egne navneservere. Men samtidigt fik de også ændret kontakt-email-adressen for hans konto hos DK-Hostmaster, og dermed alle hans domæner, uden at han fik besked.
Fejlen blev først opdaget, da naboen for nyligt modtog regningerne for alle hans domæner og undrer sig over, hvad det betød.
»Det er rent held, at min nabo spørger mig om regningen, for han forstod ikke, hvad der var sket. Mine domæner kunne nemt have været nedlagt. Og det viser, at sikkerheden hos DK-Hostmaster ikke er en dyt værd,« siger en vred Peter Toft.
Hullet er lukket Hos DK-Hostmaster lover Per Kølle, at der nu er strammet op, så noget tilsvarende ikke kan ske igen. Der har siden 2001 været to forskellige grader af sikkerhed, hvis der skulle ændres noget ved en domæneregistrering.
Alle anmodninger fra registratorer har indtil nu kørt glat igennem, uden at der blev sendt en e-mail ud til domæne-ejeren for at tjekke, at alt er som det skal være. Anmodninger om ændringer direkte fra domæne-ejeren har derimod altid været tjekket med en e-mail.
»Vi har på baggrund af denne sag valgt, at der nu skal sendes en verifikations-e-mail ud altid, også når anmodningen kommer fra registratorer. Det betyder lidt ekstra besvær for registranten, som først har været hos registrator og bede om ændringen,« siger Per Kølle.
Han erkender, at den hidtidige procedure gjorde det muligt for enhver af de 400 godkendte registratorer at lave ravage og ændre oplysningerne for domænerne, uden kontrol. Men alligevel er det første gang, der har været problemer af denne slags, understreger han.
»Mig bekendt er der ikke sket noget tilsvarende før. Der har været millioner af ændringer siden 2001 uden problemer. Så jo, det er uheldigt, men det er ikke noget, der får mig til at ligge søvnløs om natten,« siger Per Kølle.
Kommentarer (12)
Var dette ikke netop et af skrækscenarierne som DIFO opstiller ved en shared registry-løsning?
Selvfølgelig sker der fejl, men for mig virker det lidt som om DK-Hostmaster i praksis har indført en lavteknisk shared registry-system ad bagdøren uden at indfører passende sikkerhedsrutiner før fejlen nu er sket.
-
0 -
0
Det skete for mig i 2003.....
Dog på et andet niveau - via en fax (!) blanket fik en med samme efternavn - som jeg, overgivet mit firma domæne.
Det skete dagen før påske - så i hele påsken var alt ankomende email Hijacket - af en tilfældig person - med samme efternavn.
Det var helt grotesk, - for både det web firma som havde taget imod orderen (one.com) og DK Hostmaster - ville ikke indrømme at de havde gjort en fejl.
Jeg bad begge om - både via fax og mails - om i det mindste at stoppe domænet, indtil de havde forstået deres egen fejl.
Der gik dage - før det skete.
mvh
Frans
-
0
-
0
Jeg er målløs.
Jeg var overbevist om, at alle ændringsanmodninger - uanset hvem der havde anmodet - skulle godkendes af domæne ejeren eller admin og at begge altid fik besked.
-
0
-
0
Sorry to say... Det er noget rod. Og det er totalt fest at DK-hostmaster rettede email-kontakt-adresse for alle mine domæner over til naboen. Amatøragtigt...
Det skal i øvrigt siges at jeg overdrager domænet til min nabo nu, så der kommer 100% styr på det (læs; jeg skal ikke udsættes for dette igen).
-
0
-
0
Bare lige for at få det helt på plads:
- Danaweb får at vide, at de skal overtage domæne XX som administreres af handle PT ?
- Derefter overflyttes alle domæner under handle PT til et ny handle ejet af naboen eller Danaweb
?
-
0
-
0
...jeg syntes mere det lugter lidt af at udstille DK-hostmaster sådan midt i debatten om hvem der skal administrere *.DK fremover og at det er lidt præget af "sensations-journalistik".
At begynde snakke om "skjult" shared registry osv. er noget sludder. Fakta er - der er begået nogle fejl et eller flere steder og de er blevet rettet.
og hvis det er skræksenarier om DK-Hostmaster vs. Afiliates så er der nok nogle flerer historier at hente hos afiliates.
-
0
-
0
Det var bestemt ikke meningen - jeg er klar for at beholde den nuværende model med DK-Hostmaster.
Men hvis DK-hostmaster ikke respekterer mig som domæneejer og bare laver rettelser på mit domæne, hvis requesten kommer fra en trusted registrator, så er en af forudsætningerne for at støtte DKH med sole registry jo gået fløjten.
Som minimum SKAL admin/tech altid notificeres ved enhver ændring.
-
0
-
0
Claus. Nope, Hostmaster har ændret stamdata på mit PT-handle. Uden at spørge mig.
Email-adresse for alle mine domæner var rettet over til naboen...
For det pågældende domæne var DNS også rettet... uden at jeg vidste noget.
-
0
-
0
At begynde snakke om "skjult" shared registry osv. er noget sludder. Fakta er - der er begået nogle fejl et eller flere steder og de er blevet rettet.
Problemet er at DIFO netop har solgt deres løsning på at denne fejl ikke kan ske. En rouge registrator kan med DIFO's løsning ikke ændre ejeren af et domæne!
Nu har vi bare set at dette ikke er rigtigt. DIFO's løsning tillader åbenbart at registrator retter i stamdata uden om domæneindehaveren. Derfor viser historien at der er et hul i argumentationen for at DIFO skulle beholde adminstrationen af .dk. Sole registry, som implementeret af DIFO, sikrer mig tilsyneladende ikke imod at at mit domæne bliver hijacket af en betroet registrator - men det har DIFO forsøgt at bilde mig ind.
-
0
-
0
Danaweb skal på ingen måde trækkes til korset her, da kunden, ifølge dk-hostmaster selv, ikke har noget med danaweb at gøre. Kundeforholdet ligger kun mellem dk-hostmaster og registrant, der for finder jeg det endnu mere sært at en registrator kan indsende/telefonere en ændring på et handle/domæne. Jeg kan slet ikke forstå at det kan lade sig gøre uden nogen form for verifikation at ændre i noget som helst hos dk-hostmaster, men af min kendskab(før denne artikel) mere reglen end undtagelsen.
Tilgengæld vil jeg da rose dk-hostmaster for at reagere hurtigt.
Jeg kunne dog rigtigt godt tænke mig at høre hvordan man har tænkt sig at lukke det manuelle "hi-jacking"
Hvad er dk-hostmasters procedure egentlig generelt?
-
0
-
0
...at det har været så nemt at lukket hullet ;-)
Mon det ville være det i en anden registreringsmodel - hvis det i virkligheden er det som denne artikel drejer sig om?
-
0
-
0
Jeg fik for et par år siden knyttet en emailadresse til et DK-handle, også helt uden kontrol.
-
0
-
0
