GoDaddy域名被陌生人“抢走”事件：域名WHOIS隐私保护真的安全吗？

这个剪刀差说明一切，短期冲量与可持续增长之间的鸿沟正在拉大。

年，美国联邦贸易委员会对GoDaddy采取行动，指控其安全宣传存在误导，未有效实施多因素认证和持续监控，最终要求公司建立全面信息安全程序并接受长期第三方评估，而非处以罚款。这份20年整改令，反映出监管层对注册商内部流程的持续担忧。

GoDaddy并非首次因转移相关问题被质疑。过去该公司曾因严格执行60天锁定期被指可能超出ICANN政策要求，甚至在某些情况下影响合法转移的便利性。现在同一注册商内部账号转移似乎成了监管灰色地带。政策写得再严，执行如果主要靠注册商自觉，就等于把域名所有权在关键时刻交给客服的心情或系统流程的松紧程度。这个判断可能需要持续观察，但目前数据支持这个方向。

EPP码不匹配或锁定残留是最常见的拒绝原因，先在GoDaddy后台核实状态，再求助Namecheap支持往往能更快解决。

上周，一家在美国拥有二十多个分支机构的组织发现，他们使用了27年的核心域名突然从GoDaddy账户中消失。网站无法访问，邮件系统全黑，所有关联业务中断了整整四天。GoDaddy支持最初只是让“等待处理”，后来才确认域名被内部用户通过“Transfer to Another GoDaddy Account”操作转走，没有任何提前通知或文档记录。双重两因素认证和Full Domain Protection这些防护，在内部操作面前形同虚设。

从商业模式角度看，GoDaddy长期依赖低价首年吸引用户，后续通过高续费和附加服务实现盈利。这种增长优先策略，在安全投入与用户基数匹配上存在张力。过去几年多次数据泄露和黑客入侵事件，已显示出风控与扩张之间的权衡。FTC在2025年初对GoDaddy网站托管服务的调查，就指出其尽管宣传“获奖安全”，却未能充分实施多因素认证、威胁监控和网络分段，导致2019至2022年间多次泄露影响上百万客户。

第三步考虑法院起诉，主张过失侵权，参考以往数据泄露或未经授权转移的诉讼案例。UDRP更多用于第三方抢注，而针对注册商自身争议，通常需走普通法院或仲裁。

事件暴露的并非单一客服响应迟缓，而是域名注册商内部流程与表面防护之间的系统性脱节。许多用户习惯性认为开通2FA、购买隐私保护套餐就能高枕无忧，但现实中账号恢复机制与域名转移权限往往存在明显分离。GoDaddy的便利性在营销层面长期领先，却也让部分老用户开始质疑其根本安全保障的可靠性。类似历史投诉并非孤例，这一次只是将问题推到了更显眼的位置。

这件事比表面看起来复杂得多。它暴露了大型域名注册商在规模化扩张下的系统性风险——不是单纯的人为失误，而是商业模式与运营逻辑长期博弈的产物。如果GoDaddy不进一步强化内部审计和转移验证流程，类似争议大概率还会以新形式出现，普通站长该如何更谨慎地守护自己的域名资产，仍是一个开放的问题。

这个事件暴露出的不是单一操作失误，而是注册商内部流程在授权转移环节的系统性短板。即使外部安全措施齐全，一旦内部验证环节出现“Change Validated: No”的情况，外部防护就形同虚设。域名作为数字资产的核心入口，其安全直接决定业务连续性，选择注册商时，流程设计比界面熟悉度和促销力度更值得权衡。

一个用了多年的老域名，突然从GoDaddy账号里消失，网站打不开，邮箱全黑屏。你打电话给客服，对方只说“等等，我们在处理”。几天后，域名已转给陌生人，一切都来不及了。

但执行层面的细节，远比想象中棘手。