个人站长域名被盗经历:Godaddy帐号和邮箱(2)

至此该黑客盗走的大致过程应该是这样，他先通过CSDN网站泄露出的用户数据库找到了我的帐户和密码，2月22日他拿着这个帐号和密码去GoDaddy网站上试，结果他进入了我的GoDaddy帐户。为了避免打草惊蛇，他仅修改了我帐户的密保邮箱。3月10日，他见我还没改密码，密保邮箱也没换回，他知道我还没察觉他的行为，然后将所有域名过户到他自己的帐户内。4月8日，他才将所有域名的信息换成他自己的，到此时他才终于完全获得了域名的持有权。4月8日之后我猜想他可能在仿制我网站的程序，模仿界面和采集数据等，等到时机成熟再把域名的DNS服务器也换掉，把域名解析到他自己的服务器上，然后给网站挂上他自己的广告。我可以想象，他的手段会和盗取zhibo8的那个黑客很像，不排除就是同一人的嫌疑。

为什么他每一次操作都要间隔那么长时间呢。因为根据GoDaddy的政策，帐户或域名信息被修改后15天内都可以申诉撤消。该黑客显然非常熟悉该政策，他2月22日若是把我帐户的密码也给换了，甚至是域名盗走了，我肯定当天就能发现，这样我立即申诉，拿回来的可能性极大。因此他等到3月10日，此时距离帐户的密保邮箱被修改刚好过了16天，时间把握得很准。到4月8日改掉域名信息，也已超过了申诉期。因此我4月16日再去申诉，当然会被拒绝。这个黑客的精明之处在于并不急于求成，整个过程中他都没有将我域名的DNS服务器更换，为的就是不让我发觉，然后步步为营的将域名拿到手。许多黑客一拿到域名管理帐户密码或是邮箱密码，就马上把别人的域名转走，然后把解析换了，这样就算是傻子也能马上知道自己域名被盗，很容易就申诉回来。

在等待他们邮件的过程中，我飞回老家去把护照办了。因为按照教程中所说，一旦GoDaddy开始受理申诉，就要给他们提供护照和身份证翻译件。由于办理护照通常需要15-20个工作日，就算花钱加急也要一周左右，因此我必须尽早去把护照办好。身份证翻译件我4月17日已经联系“爱晴皇岛”帮我制作了。“爱晴皇岛”告诉我，就算是他来帮我也很难拿回了，因为我现在的情况是最复杂的，域名管理帐户2个月前被盗，密保邮箱被改了，帐户的联系人名称也肯定早就改了，域名又已被过户，现在域名的信息也已不我的，唯一的办法就是与GoDaddy慢慢磨了。

但是经过这3封邮件，我看我是拿他们没办法了。此时已是4月19日，距离发现域名被盗已经过去了3天，这天我做了两件事情，一是联系网络上某知名律师，二是去公安局报案。我是这样想的，或许让律师去交涉，给GoDaddy发律师函后，他们可能会重视一点，而不是总想着推卸责任。

我一直想不通为什么我的域名被盗，而我的邮箱竟然没有任何相关邮件。而且邮箱自2月22日以来的登陆IP全是我本人的。我怀疑可能是不是GoDaddy发来的邮件被系统自动归类到垃圾邮件里去了，然后垃圾箱里的邮件保存超过7天便会自动彻底删除，又或者是不是该黑客入侵我的电脑，利用我的电脑进入我的邮箱，将收到的邮件删除。为了确定这一点，我立即致电网易客服，请他们帮我确认在4月8日-4月9日这两天时间里，是否有收到过发件人是support@godaddy.com的邮件。网易技术部门在后台查询后确认，这两天内没有来自该发件人的邮件。我将电话进行了录音，以便将来可能成为证据之用。

4月29日，ICANN那边没有任何回音。此时距离我发现域名被盗已过去了13天时间，我寄托在律师身上的希望也彻底破灭了，接下来或许只能靠我自己。我不知道我还有多少时间，也许今天，也许明天，黑客就会把DNS服务器换掉，但我不能再等了。我认为必须将那个安全漏洞告知给GoDaddy他们才会重视。我写了一封很长的邮件，详细的描述了该漏洞，以及黑客利用该漏洞盗走我域名的全过程。在最后我略带威胁的语气说假如GoDaddy坚持不肯受理我的申诉，我将委托美国律师起诉GoDaddy，并将此漏洞报告给新闻媒体。希望这样能引起他们的重视。

出乎我的预料，等了几天，石沉大海，本来还以为这封邮件能起点作用，这样的结局令人大失所望。于是我决定向ICANN投诉，投诉页面地址是http://reports.internic.net/cgi/registrars/problem-report.cgi，选择最后一项Transfer Problems，里面包括了“欺诈转让”。我把给GoDaddy的那封邮件稍微改了一下，提交给了ICANN。当天，ICANN就把我的投诉转发给了GoDaddy进行处理，并表示他们一直会跟进此事。

第2天GoDaddy的撤消部门果然答复我了，但他们的态度依然很坚定，“我们认为有必要再解释一下为什么你的申诉请求被拒绝，保护好帐户的安全信息是客户自己的责任，你可能需要重新查看一下我们的域名注册协议，如果你还有异议可以将申诉提交至法院或仲裁机构，如果你提交了申诉，请转发一份给我们，我们很乐意配合任何法院或仲裁机构”。GoDaddy依然死不认错，他们不认为自己有任何责任。为了找到有关域名注册商需要承担的相关责任，我开始在ICANN网站上寻找相关的政策和条款，终于被我找到了几条，我将协议链接和相关条款整理了出来，写成了封邮件（原文为英文，同时发给了GoDaddy和ICANN）

同一时间，我开始联系美国律师，我当时想的是，如果他们还是坚持不肯受理，那我也没别的办法了，只有委托美国律师起诉GoDaddy。可是美国律师告诉我，就算是在美国也没有专门的法律用于保护域名这样的无形资产，如果要起诉的话，只能依据《知识产权法》，类似域名被盗这样的情况胜算不大。收到这样的结果后我又倍受打击，看来我的最后一条出路也被堵死了。而GoDaddy那边又一直那么强硬。之前给他们发的有关他们漏洞的邮件，也未能引起他们重视，3天了他们都没有答复该邮件。看到网上有人说可以给warren@godaddy.com发邮件试试，这个是GoDaddy的CEO的邮箱，于是我把先前那封邮件重发给了撤消部门，并转发给了这个可能是CEO的邮箱地址。不知道是不是CEO施加了压力，还是撤消部门之前没有注意到我发的邮件，这次重发才看到。总之在第2天GoDaddy又答复我了，但内容依然是“同前面说的一样，由于该变更已发生太久时间，我们无法帮助你”。看来他们是铁了心要拒绝受理我的申诉，此时此刻我基本上快要绝望了。

此时已是5月2日，距离我发现域名被盗已过去了16天时间，我问律师我的域名还有办法吗，律师说只有提交域名仲裁了。我打电话给亚洲域名仲裁中心北京秘书处，询问关于域名被盗的情况仲裁中心是否受理，得到的答复是“域名被盗的情况我们管不了，以前也没受理过类似案件。不过你要提交仲裁也可以，我们不管域名是不是被盗的，一律按ICANN的统一域名争议解决政策（UDRP）进行裁决，只有同时满足该政策的三条规则才能胜诉”，他们所说的三条政策中的第一条就是“争议域名与投诉方的注册商标相似”，我连商标都没有，肯定满足不了了。

公安局管不了，域名仲裁也管不了，GoDaddy又不受理，这下我真的走投无路了。我悔当初为什么要把域名转到国外，若是现在我的域名在国内，可能早就拿回了，就算没拿回至少公安机关那边也有希望破案。我悔当初自己明明知道CSDN泄密了为什么不坚持把GoDaddy帐户的密码改了，我恨GoDaddy为什么会存在那么大的漏洞，我恨老天爷对我如此不公平，把那么多的巧合安排在了一起。我一向奉公守法，行事低调，乐善好施，我究竟得罪谁了我。怀着无比悔恨的心情我给GoDaddy的撤消部和CEO邮箱发去了我认为可能是最后的一封邮件。内容是“我已经联系了域名仲裁中心，他们不受理域名被盗的情况。我也联系了法院系统，法院告诉我目前没有任何相关法律可以保护类似于域名这样的网络无形资产。他们都建议我联系域名服务商解决。因此我除了向GoDaddy申诉以外没有其他办法了。我再次请求GoDaddy调查我的域名。在4月8日之前那些域名的所有信息都是我的，我一发现域名被盗就立即联系了你们，我联系你们的时间在15天的申诉期限内，我知道你们可以帮助我的，除了你们就没有人能帮助我了”，这封邮件发过去我已经没有抱有任何希望，因为我对GoDaddy已经彻底绝望了。

3天假期放完了，公安局已经上班，我拿着网站价值评估报告，来到成都市公安局打算立案，可是之前联系的那位警官却以外出办事为由让我明天早上9点再来找他。没办法，我只好5月3日一大早就去公安局门口等着，那天下着很大的雨，又冷又饿，等了一个多小时，那位警官的电话竟然还没打通，而没有警官通知门卫，门卫就不让我进去。我想这位警官可能是有意不想再接待我了，我再联系他也没用。于是我对门卫说我要报案，具体情况和第一次去金牛区公安局的情况差不多，后来联系上了一位网监大队的警官，这才让我进去。进去后我又一次详细的陈述了整个事情的经过。这位警官一听就明白，显然经常处理网络上案件，而且从头到尾一直态度非常和善，基本没有打官腔。在接待我的过程中他还接到其他人打来电话报案，说是网络游戏的装备被盗了，他让对方准备好资料过来一趟，可以进行调查。在听完我的陈述后，他看了我的评估报告，又拿去咨询了有关的同事，然后回来告诉我说，我做的这个报告不能用，因为该资产评估公司和评估师缺少一个政府部门的资质认证，他们提供的资质认证是一个北京的资产评估协会颁发的，这是个民间组织，这样的资质做出的评估报告只能用于民间交易等用途，不能用于司法用途，必须有物价局或其他政府部门颁发的资质认证才行。我对他说我找了很多家成都的会计师事务所和资产评估公司，都说没有这个资质，做不了网站的评估，而少数几家能做的又报价非常高。要是重做的话我估计又得花上万甚至几万的钱，万一最后还是没有破案，我这几万块钱都白费了。他说，“立案的话流程很严格，要求资料必须符合规定才能给立案。但是我听完你的叙述，了解了你的实际情况，年轻人做点事业也不容易，我可以相信你，先帮你调查，等调查有进展了，有破案的希望了，你再去重新做评估报告，然后我们再立案”，听完这位警官说的我心里舒服了些，尽管还没看到什么希望，但是至少他答应可以先调查，假如那个黑客改了我域名的DNS服务器，对网站进行了进一步的操作，那么可以马上联系他。

由于黑客还没有换掉我的DNS服务器，此时网站还能正常打开，没有人知道网站的域名已经被盗。接下来我的打算是这样，既然法律途径和GoDaddy申诉都没办法了，那我只有尽快提交域名仲裁。尽管一开始就听律师说仲裁不可能拿回被盗域名，但GoDaddy也说了，只要仲裁一开始他们就会把域名锁定，黑客将无法再修改DNS。而ICANN对于域名仲裁的最长裁决时限是60天，也就是自仲裁开始后，最多在60天内必须出结果。既然我已没什么希望能拿回域名了，那我就只有更换域名，以求尽量挽回一点损失。可是在仲裁开始前，我根本不敢更换域名，我只要将原来的域名一做转向，黑客极有可能立即将DNS换掉，这样网友们都来不及得知新的域名。等仲裁开始之后，我就立即将域名做转向，然后尽量拖延时间，拖满2个月，在这2个月的时间内，我尽可能的依靠网络和媒体，告知网友们网站已更换新的域名。有2个月的时间做缓冲，应该多少能挽回一些损失。假如黑客先我一步将DNS换掉了，那这2个月内网站都将被他控制，就算我最终能胜诉，这个网站也残废了。因此这是我至关重要的一步，我一天时间也耽误不起了。

5月3日，GoDaddy果然没有回复。我立即开始着手准备域名仲裁的材料，首先我需要详细的了解域名仲裁的政策和流程。我在亚洲域名争议解决中心北京秘书处的官网上泡了一整天（https://www.adndrc.org/bjc_home.html），终于摸清了域名仲裁的详细政策。域名仲裁一次可以申请仲裁2个域名，最低费用为1000美圆（1人专家组，3人专家组要2500美圆），提交资料之后，秘书处会先进行审核，确认没有问题后就要打款了，他们收到付款后仲裁便正式开始。仲裁机构不会管域名是不是被盗的，所有的案件都会依照《统一域名争议解决政策》（UDRP）来裁决。所谓的UDRP主要有3个条件：

（1） 争议域名与投诉人享有权利的商品商标或服务商标相同或混淆性相似；及

（2） 被投诉人（域名持有人）对争议域名不享有权利或不具备合法利益的原因；及

（3） 认为争议域名系恶意注册和使用的理由。

域名必须同时满足这3个条件，投诉人才能胜诉，少一个都不行。在投诉书中，投诉人必须根据这3条逐条进行阐述。之后再由被投诉人对这3条逐条进行答辩，最终由专家组裁定争议域名是否完全符合这3个条件。

我将以上这些整理好全部写进了投诉书，帐户和域名被盗的全部过程也详细的写进去了。我还说了由于域名服务商GoDaddy存在漏洞，导致我没有收到任何通知，发现域名被盗后就立即向GoDaddy申诉，可是他们一直拒绝受理。我提供了GoDaddy漏洞的录象和网易客服的录音作为证据。弄完之后我又仔细的检查了好几遍，以确保我的每一句话都没有遗漏之处，每一个证据都非常有力。5月4日凌晨1点，我将投诉书和所有证明材料一并发送给亚洲域名争议解决中心北京秘书处，同时转发给GoDaddy的域名纠纷部。之后我又再给域名纠纷部去了一封邮件，说我已经提交了域名仲裁申请，请你们尽快把我域名锁起来吧。由于投诉书经过了周密的构思，并提供了足够的证据，此时此刻我对仲裁拿回域名还是挺有信心的，与当初计划的仲裁一开始就换域名的想法已完全不同，剩下的就是等北京秘书处审查我提交的资料了，我只希望北京秘书处能尽早开始仲裁程序。由于不用再为等待GoDaddy的邮件而守到天亮了，这一天是我这半个多月以来睡得最早的一天。

5月4日一大早，8点还没到，迷糊中我手机收到短信显示有新邮件，起初我以为是北京秘书处给我答复了，但一想不对，8点钟没到秘书处还没上班呢。再仔细一看竟然是GoDaddy发来的，GoDaddy从来没在这个时间点发来过邮件，难道会有奇迹？我立即爬起来看邮件，奇迹竟然真的出现了。GoDaddy的撤消部在北京时间7点47分答复了我最后发给他们的那封邮件，由于15个小时的时差，这个时间应该是GoDaddy的下午4点47分，也就是快下班的时间。他们在邮件中发了一个撤消申请表格给我，并让我按照说明填写该表格，然后将身份证明作为附件一并发送给他们。邮件中说，他们已经锁定了域名以防止进一步的修改，在收到我的材料后他们便会展开调查，如果10天之内没有收到材料那么该申诉就会自动结束。收到这封邮件让我无比的兴奋，一下子困意全无，这表示GoDaddy已经正式受理了我的申诉。尽管域名还没有拿回来，但是听说只要GoDaddy发来了这个撤消申请表，就成功了一半。最关键的是GoDaddy说已经锁定了域名，这下我终于可以放心了。

于是我立即填好表格，然后将护照，以及4月20日去公证过的身份证和驾照翻译件一起回过去了。我在信中说，“如果你们认为还需要其他的任何证据，我都可以立即提供给你们”。回信之后我立即给北京秘书处打电话，请求他们撤消我的仲裁申请。因为既然GoDaddy已经在受理了，那拿回域名的可能性就非常大，而仲裁那边尽管我也有信心胜诉，但还是存在较大风险，而且仲裁周期太长，因此没必要在走域名仲裁了。北京秘书处说我的申请材料才刚提交，仲裁还未正式开始，因此可以撤消。