Aus der Serie: Abenteuer Qudosoft
Bei Gründung der Qudosoft haben wir neben unserer offiziellen Domain qudosoft.de auch die Domain qu.do auf uns registriert, weil es so gut passte, nerdig und lustig war und ist.
In der Folge haben viele von uns sich entsprechende Email-Adressen eingerichtet, um auch über qu.do kommunizieren zu können.
Incidents happen!
Nicht ganz so spektakulär wie das Hijacking von Perl.com, für uns aber alle Mal ein Aufreger!
Ende September bemerkte ein Kollege, dass er keine Emails mehr an seine qu.do Email-Adresse bekommt, wurde stutzig und fing an zu recherchieren.
Es stellte sich heraus, dass im August unsere Registrierung auf die qu.do Domain abgelaufen war und sie direkt von einem Domain-Grabber einkassiert wurde.
Die Erinnerung vom Registrar über eine notwendige Verlängerung der Domain ging unglücklicherweise an die E-Mailadresse eines ehemaligen Kollegen und landete somit im Nirvana. 🙁

Ja und, ist das schlimm?
Das kommt darauf an, was die Antworten auf u.a. diese Fragen sind:
- Wo in unseren Kommunikationskanälen (privat, Server, Verteiler) wurde die Domain verwendet?
- Welche Informationen konnten potentiell nach außen gelangen?
- Wie häufig wurde über die Domain kommuniziert?
- Sind Informationen nach außen gelangt?
Um das zu klären, haben sich kurzfristig ein paar Kolleg*innen gefunden und unserem Incident-Prozess folgend mit der Bearbeitung begonnen.
Da wir Ausmaß und Schwere des Incidents anfangs nicht genau kannten, haben wir erstmal möglichst breit informiert (alle Kolleg*innen intern, Lead Architect, Datenschutzbeauftragte, IT-Abteilung des Mutterkonzerns, Hosting-Dienstleister).
Es stellte sich zum Glück heraus, dass die Email-Adressen kaum und nicht für relevante Informationen in Benutzung waren und kein Fremdzugriff möglich war. Puh, Glück gehabt.
Wie haben wir das Problem gelöst?
Los ging es tatsächlich mit der Kontaktaufnahme durch den Domain-Grabber:
“Looks like you folks are facing some issues with regards to qu.do domain. Let me know if I can help with anything.”
Dreist, aber gut, ein Richtungszeig.
Wie gehen wir damit um? Lassen wir uns auf so ein zwielichtiges Angebot ein? Wir haben versucht das Ganze nüchtern zu betrachten, auch wenn einige von uns auf 180 waren. Uns war relativ schnell klar, dass die weitere Nachverfolgung des Themas, notwendige Umkonfigurationen und Tests schnell recht teuer werden. Davon abgeleitet haben wir ein Maximalgebot für den Rückkauf unserer Domain definiert. Wie das bei uns üblich ist, haben wir das ganz offiziell und transparent über unseren unbürokratischen internen Freigabeprozess umgesetzt.
Und dann ging es Schlag auf Schlag und eigentlich auch ganz fix über die entsprechende Domainauktion sedo.com.
- unser Minimalgebot 220 USD (da es keine offizielle Forderung gab)
- der Grabber stellt seine Forderung von 5000 USD
- unser Gegenangebot 2000 USD
- der Grabber meldet sich nochmal, mit dem Hinweis, dass er auch andere Firmen mit ähnlichem Namen wie Qudosoft kontaktiert und ihnen die Domain qu.do angeboten hat.
(“… We never meant to create inconvenience for you. Would appreciate a reply so that we can solve the issue at the earliest as we are in touch with few other folks also redarding the same domain. We had done direct outbound to … and … folks apart from a few others who could use this domain. …”) - wir nehmen Kontakt mit dem Grabber auf und einigen auf 3500 USD
Auch wenn sich das im Rückblick sehr nüchtern liest, war es in dem Moment doch ein ziemlicher Thriller.
Nach 3 Arbeitstagen gehörte die Domain qu.do dann wieder exklusiv uns. Yay!
Was bleibt?
Unser Incident-Prozess sieht zum Abschluss ein Debriefing bzw. Post-Mortem vor. Ziemlich sinnvoll, um zu reflektieren, wie etwas passiert ist, wie wir damit umgegangen sind, was wir gelernt bzw. verbessert haben.
In diesem Fall sind das ganz konkret:
- für die Kommunikation mit dem Registrar ist nun eine Emailverteiler im Einsatz. So bekommen mehrere Personen relevanten Erinnerungen und Warnungen. (4+ Augen Prinzip)
- unser Monitoring prüft nun regelmäßig das Ablaufdatum unserer Domains und benachrichtigt uns bei Bedarf.
- wir haben uns einen Überblick über die Verwendung der qu.do-Email-Adressen verschafft, alles dokumentiert und deren Verwendung deutlich reduziert.
- beim Offboarding müssen wir noch gründlicher nach relevanten Zugängen forschen, um sicherzustellen, dass uns relevante Informationen nicht durchrutschen.
- zukünftig buchen wir unsere Domains länger 🙂
Shit happens, das lässt sich nicht ändern. Der Umgang damit aber schon: Arbeitet lösungsorientiert, vermeidet Schuldzuweisungen, lernt daraus und verbessert Dinge!