Hacker News 의견

• 한때 Zoom을 사용하지 않도록 고용주를 설득하기 위해 2-3시간 동안 보안 취약점을 찾아보았음

  • binwalk와 osint만 사용하여 12개의 확인된 버그를 발견했음
  • 가장 심각한 문제는 zoom.us의 godaddy 계정 비밀번호 재설정 이메일 주소가 CEO인 Eric S Yuan의 개인 Gmail 계정이었다는 점이었음
  • 그의 Gmail 계정 비밀번호를 재설정하려고 시도했으며, 2FA 없이 두 가지 질문에만 답하면 되었음. 고향과 전화번호였으며, 공개 데이터를 통해 이를 얻어 재설정 링크를 받았고, zoom.us 도메인 이름을 제어할 수 있었음
  • 이 버그들을 설명할 수 있는 영어를 구사하는 보안 팀원을 찾지 못했고, 확인하고 버그 바운티로 총 $800를 지급받는 데 3개월이 걸렸음
  • 이 사건은 고용주가 Zoom을 사용하지 않도록 설득하는 데 성공했음

• MarkMonitor의 서비스 가치를 심각하게 떨어뜨리는 사건임

  • MarkMonitor는 "ICANN 공인 등록기관이자 1999년부터 인정받은 업계 리더"라고 주장함
  • MarkMonitor에 비용을 지불하는 이유는 그들이 가치 있는 도메인에 대해 실수를 하지 않는 고가의 서비스이기 때문임
  • GoDaddy는 여기에 관여해서는 안 됨

• Fastmail이 fastmail.com을 구매하고 이전 도메인인 'fastmail.fm'에서 이전한 이유임

  • .fm은 멋졌지만, .fm 서버에서 몇 번의 중단을 겪었고, .com으로 이전한 이후로는 그런 문제가 없었음

• GoDaddy는 매우 무능한 조직임. 중요한 것을 관리하도록 허용해서는 안 됨

• 몇 년 전 .us TLD를 가지고 있었음

  • 국가 코드에 의존하지 않기로 결정했으며, 같은 이유로 .io도 사용하지 않음
  • gTLD에서도 이런 일이 발생할 수 있지만, 브랜드를 정부에 맡기는 것은 위험함

• Zoom 클라이언트의 호출을 위해 다양한 등록기관과 호스팅 인프라를 가진 보조 및 3차 도메인을 구현해야 함

  • 서비스 발견을 위한 대체 anycast IP 주소도 고려해야 함
  • 회사들이 서비스에 지불하는 금액을 고려할 때, 그 정도의 엔지니어링 선견지명을 기대하는 것이 합리적임
  • 후회보다는 사후 대처가 필요함. 이를 해결하자

• GoDaddy와의 거래로 인해 발생하는 서비스 중단이 놀라울 정도로 많음

• Zoom CEO: 글로벌 중단으로 인해 SLA 크레딧을 요청하고 싶음

  • GoDaddy: 정말 죄송합니다. 다음 구매 또는 갱신 시 $10 할인 쿠폰을 제공할 수 있습니다. 계정에 적용할까요?
  • 대부분의 회사는 사과하는 Zoom 통화가 비즈니스를 유지하기에 충분하다고 생각하며, 대부분의 경우 효과가 있음
  • SLA 크레딧의 비대칭성과 공급업체 중단으로 인한 수익 영향에 대해 충분히 논의되지 않았으며, 이는 빌드 대 구매 결정 프레임워크를 안내해야 함

• MarkMonitor와 관련된 무언가가 발생한 것처럼 보임

  • MarkMonitor가 실수로 zoom.us를 브랜드 스푸핑으로 표시하고 GoDaddy에 저작권 불만을 제기했으며, GoDaddy는 불만에 따라 도메인을 정지시켰음

• ThousandEyes의 중단 분석: 링크