Insiden Domain GoDaddy yang Beralih ke Tangan Orang Lain
Suatu pagi, semua email pembeli saya terpental kembali (bounce). Berangkat dari kasus nyata pengalihan domain tidak sah di GoDaddy, kami mengulas kerentanan struktural registrar dan daftar periksa (checklist) Transfer Lock, 2FA, serta Registry Lock yang harus diperiksa perusahaan ekspor sekarang juga.


TL;DR (Ringkasan Inti) Kasus pembajakan domain yang terjadi di registrar besar seperti GoDaddy dapat melumpuhkan email, situs web, dan kepercayaan pembeli perusahaan ekspor seketika. Mengingat pemulihan pasca-pembajakan memakan waktu berbulan-bulan, memeriksa Transfer Lock, 2FA, dan Registry Lock saat ini adalah langkah pencegahan terbaik.
Pembajakan domain bukanlah skenario fiktif. Suatu pagi, semua email yang saya kirim ke pembeli terpental kembali. Situs web tidak bisa diakses. Domain resmi ternyata sudah berganti kepemilikan menjadi orang asing. Ini adalah kasus nyata pengalihan domain tidak sah yang dilaporkan terjadi di GoDaddy.
Domain Saya Menjadi Milik Orang Lain Tanpa Satu Pun Dokumen
Peristiwa yang Terjadi Nyata, Bukan Imajinasi
Memasuki tahun 2020-an, kasus pembajakan domain yang melibatkan GoDaddy berulang kali dilaporkan di komunitas keamanan siber luar negeri. Polanya sederhana: pemilik sah tidak melakukan persetujuan apa pun, namun tiba-tiba mendapat notifikasi bahwa hak milik domain telah berpindah ke pihak ketiga. Bahkan, ada juga yang tidak menerima notifikasi sama sekali dan baru menyadari pengalihan sudah selesai. Halaman kebijakan keamanan resmi GoDaddy menawarkan berbagai fitur perlindungan, namun fitur tersebut menjadi tidak berarti saat proses internal mereka runtuh.
Apa Saja yang Runtuh Saat Satu Domain Hilang?
Domain bukan sekadar URL. Saat pembajakan domain terjadi, ini adalah hal-hal yang akan runtuh bersamanya:
- Email perusahaan dan saluran komunikasi resmi dengan pembeli
- Katalog produk dan tautan panduan pembayaran
- URL verifikasi dokumen perdagangan dan titik kontak pertama kepercayaan merek
Jika Anda seorang staf ekspor, ini pasti terasa lebih nyata. Karena email berbasis domain dan situs web adalah titik temu pertama di mana pembeli memverifikasi, "Apakah perusahaan ini asli?". Saat domain dibajak, seluruh fondasi kepercayaan tersebut akan terguncang.

Insiden Keamanan GoDaddy: Apa yang Sebenarnya Terjadi?
Kegagalan Verifikasi Kepemilikan oleh Staf Registrar
Jika kita menganalisis kasus yang telah dipublikasikan, kerentanan struktural yang umum terlihat adalah pola di mana staf dukungan pelanggan (customer support) menyetujui permintaan transfer oleh pihak ketiga tanpa verifikasi kepemilikan yang memadai. Inilah yang disebut serangan 'Social Engineering' (rekayasa sosial). Penyerang berpura-pura menjadi pemilik sah untuk menghubungi pusat layanan pelanggan guna membobol hak akses akun, atau menyalahgunakan proses internal yang longgar di mana hak milik hanya dibuktikan melalui prosedur verifikasi email.
Bagaimana Serangan Rekayasa Sosial Menembus Proses Internal
Alasan mengapa metode ini mengerikan sudah jelas. Tidak peduli seberapa kuat kunci teknisnya, sistem itu bisa ditembus saat 'manusia' dilibatkan. Jika staf pusat panggilan merasa simpati dengan skenario "pelanggan ini lupa kata sandi", prosedur akan dilewati saat itu juga. Kesalahan penilaian manusia dapat melumpuhkan keamanan teknis. Kebijakan transfer domain ICANN mewajibkan registrar memiliki prosedur verifikasi kepemilikan, namun kedalaman verifikasi tersebut ditentukan secara mandiri oleh masing-masing registrar.
Hingga Korban Pembajakan Domain Kembali Mendapatkan Miliknya — Bagaimana Realitas Pemulihan Hukum?
Menjadi korban pembajakan domain tidak berarti Anda bisa langsung mendapatkannya kembali. Anda bisa mengajukan permohonan pemulihan hukum melalui Kebijakan Penyelesaian Sengketa Domain Seragam (UDRP) ICANN, namun prosedurnya bisa memakan waktu berbulan-bulan. Sementara itu, email terus ditolak dan pembeli berpaling karena "tidak bisa dihubungi". Kerugian bisnis sepenuhnya ditanggung oleh perusahaan. Inilah alasan mengapa pencegahan jauh lebih penting daripada pemulihan pasca-kejadian dalam kasus pembajakan domain.

Ini Bukan Hanya Masalah GoDaddy
Dilema Registrar Raksasa yang Mengelola Puluhan Juta Domain
Saat ini, GoDaddy mengelola lebih dari 84 juta domain di seluruh dunia (berdasarkan Laporan Tahunan GoDaddy 2024). Dengan skala sebesar itu, memverifikasi kepemilikan setiap domain secara presisi memang sulit dilakukan secara struktural. Akhirnya, kecepatan dan efisiensi menjadi prioritas utama, dan hambatan keamanan sering dianggap sebagai 'ketidaknyamanan pelanggan'. Ini bukan masalah GoDaddy saja. Registrar besar lainnya seperti Namecheap, Tucows, dan Network Solutions juga menghadapi dilema yang sama.
Trade-off antara Kenyamanan dan Keamanan: Kecepatan Layanan Menang Melawan Keamanan
Jujur saja, 'pemrosesan transfer cepat' adalah poin kompetisi dalam industri registrar. Di pasar di mana layanan yang menjanjikan penyelesaian dalam 24 jam setelah aplikasi transfer lebih menarik pelanggan, keputusan untuk meningkatkan hambatan keamanan bisa merugikan secara bisnis. Selama trade-off ini tidak terselesaikan, pembajakan domain yang menargetkan proses internal kemungkinan akan terus berulang.
Batasan Kebijakan ICANN: Adanya Regulasi Tidak Menjamin Penegakan
ICANN menetapkan syarat keamanan melalui standar akreditasi registrar dan kebijakan transfer. Namun, intensitas penegakan aktual dan frekuensi audit internal berbeda-beda di setiap registrar. Fakta bahwa regulasi tersebut ada tidak menjamin bahwa "domain kami aman".
Keamanan Domain Perusahaan Ekspor: Pembajakan Domain Adalah 'Kebangkrutan Digital'
Skenario di Mana Email Pembeli dan Tautan Dokumen Perdagangan Terpapar Sekaligus
Saat domain dibajak, bukan sekadar situs web saja yang ditutup. Jika penyerang menguasai email berbasis domain tersebut, mereka dapat mengirim email ke pembeli yang berisi, "Informasi rekening telah berubah. Mohon transfer ke rekening ini." Inilah yang disebut serangan BEC (Business Email Compromise). Menurut Internet Crime Complaint Center (IC3) FBI, serangan BEC merupakan kategori yang menyumbang porsi terbesar dalam kerugian finansial siber. Begitu kehilangan hak milik domain, seluruh titik temu digital dengan pembeli berada di tangan penyerang.
Dampak Aktual pada Kepercayaan Merek dan Hubungan dengan Pembeli
Ketika email resmi tiba-tiba mental atau situs web tidak dapat diakses, pembeli luar negeri akan berasumsi bahwa 'perusahaan ini sedang bermasalah'. Kepercayaan yang telah dibangun selama bertahun-tahun bisa runtuh hanya dalam beberapa hari. Hal yang sering kami amati saat menangani infrastruktur komunikasi digital perusahaan ekspor adalah, menjelaskan kepada pembeli bahwa "kami telah diretas" merupakan pukulan telak bagi kepercayaan merek.
Mengapa Domain Harus Diperlakukan Sebagai 'Surat Izin Usaha Digital'
Jika surat izin usaha hilang, berbagai urusan administrasi akan terhenti. Begitu juga dengan domain. Bagi perusahaan ekspor B2B di mana email, situs web, gateway pembayaran, dan tautan dokumen perdagangan semuanya terikat pada domain, keamanan domain adalah elemen inti manajemen keberlangsungan bisnis. Banyak UKM dan startup Korea mendaftarkan domain mereka di registrar luar negeri, dan dalam pengamatan kami, tidak sedikit yang bahkan tidak ingat kapan terakhir kali mereka memeriksa status Transfer Lock atau pengaturan 2FA.

Checklist Keamanan untuk Mencegah Pembajakan Domain
Transfer Lock: Belum Tentu Aman Meski Sudah Aktif
Transfer Lock (Kunci Transfer) adalah sarana perlindungan paling mendasar untuk mencegah domain dipindahkan ke registrar lain tanpa izin. Meskipun disediakan secara default oleh sebagian besar registrar, sering kali pengaturan bawaannya dalam kondisi nonaktif (disabled). Masuklah langsung ke panel manajemen domain di registrar utama seperti GoDaddy atau Namecheap, lalu periksa status "Lock" atau "Transfer Lock". Meskipun tertulis 'aktif', jika pemeriksaan terakhir dilakukan lebih dari setahun yang lalu, kami sarankan Anda memeriksanya kembali.
2FA dan Keamanan Akun: Kunci Mulai dari Login Registrar
Pastikan dulu bahwa autentikasi dua faktor (2FA) telah diatur pada akun registrar Anda. Berikut klasifikasi kekuatan keamanan berdasarkan metode autentikasi:
- 2FA berbasis aplikasi (Google Authenticator, Authy, dll.) — Paling kuat terhadap phishing dan serangan rekayasa sosial
- 2FA berbasis SMS — Rentan terhadap serangan SIM swapping, tidak disarankan digunakan sendiri
- Autentikasi berbasis email — Dapat lumpuh seketika jika email domain dibajak
Jika login akun sudah bobol, penyerang dapat membuka kunci Transfer Lock sendiri, jadi keamanan akun adalah titik keberangkatan semua pertahanan.
Registry Lock (Kunci Registri): Bukan Pilihan Hanya Untuk Perusahaan Besar
Registry Lock adalah lapisan keamanan tingkat atas yang mengunci perubahan domain di tingkat registri yang diakreditasi ICANN. Bahkan staf registrar pun tidak bisa mengubahnya secara sembarangan; pembatalan kunci memerlukan persetujuan multi-pihak dari registrar dan registri. Berdasarkan kebijakan Verisign dan ICANN, beberapa registri menyediakan fitur ini secara gratis atau dengan biaya kecil. Pikiran bahwa "perusahaan saya kecil, jadi tidak butuh" justru berbahaya. Penyerang justru melihat domain skala kecil yang keamanannya lemah sebagai target yang lebih mudah.
Pengelolaan Informasi WHOIS dan Informasi Pemilik Domain
Informasi pendaftar domain (WHOIS) harus mencatat informasi pemilik asli dengan akurat agar menjadi dasar hukum jika terjadi sengketa. Berikut item yang harus diperiksa sekarang juga untuk mengantisipasi kerusakan akibat pengalihan domain tidak sah:
- Terlepas dari penggunaan perlindungan privasi WHOIS, pastikan informasi pemilik dalam akun registrar sudah akurat
- Cari informasi pemilik yang terdaftar saat ini secara langsung melalui alat pencarian WHOIS ICANN
- Jika email kontak hanya disetel ke email berbasis domain, daftarkan email eksternal tambahan

Mengapa Tim Kami Menaruh Perhatian pada Masalah Ini
Kepercayaan dengan Pembeli Luar Negeri Bisa Runtuh Hanya dari Satu Domain
Sembari kami mengamati pipa penjualan luar negeri perusahaan ekspor dari dekat, kami berulang kali mengonfirmasi bahwa 'keamanan domain' adalah salah satu area infrastruktur digital yang paling sering diabaikan. Tidak peduli seberapa canggih otomatisasi email, pencarian pembeli, atau strategi cold email yang Anda rancang, jika fondasinya (domain) goyah, semua itu tidak ada artinya. Insiden keamanan GoDaddy mungkin tampak seperti kasus ekstrem, namun kenyataannya itu adalah "hal yang bisa terjadi pada perusahaan kami kapan saja".
Satu Pengaturan Kecil Mencegah Krisis Besar
Keamanan bukan berarti "selesai setelah diatur". Tiga hal yang harus diperiksa oleh perusahaan ekspor hari ini juga adalah:
- Status aktif Transfer Lock — Periksa langsung di panel manajemen registrar
- Pengaturan 2FA berbasis aplikasi — Disarankan segera beralih jika masih menggunakan metode SMS
- Pembaruan informasi pemilik WHOIS — Berfungsi sebagai dasar hukum jika terjadi sengketa
Dibandingkan dengan prosedur hukum selama berbulan-bulan dan kerugian bisnis yang ditanggung untuk memulihkan diri dari pembajakan domain, 10 menit waktu yang Anda gunakan untuk memeriksa ketiga hal ini adalah investasi yang jauh lebih menguntungkan.
Penulis · Tim Riset Penjualan Ekspor RINDA (Editor riset otomatisasi penjualan ekspor & pencarian pembeli luar negeri)
Berdasarkan data pipa pencarian pembeli luar negeri dari 200+ perusahaan ekspor Korea serta pengamatan internal platform RINDA, kami menyusun strategi dan checklist yang dapat langsung digunakan dalam praktik ekspor.
Saat memeriksa keamanan domain, Anda mungkin juga akan merenungkan bagaimana mensistematisasikan komunikasi secara keseluruhan dengan pembeli. RINDA mendukung pipa penjualan ekspor mulai dari pencarian pembeli luar negeri hingga otomatisasi cold email, sedangkan Grinda AI menangani otomatisasi di seluruh infrastruktur komunikasi digital perusahaan ekspor. Jika Anda tidak yakin apakah pengaturan keamanan domain Anda sudah benar, mungkin ini saatnya untuk memeriksanya.
Pertanyaan yang Sering Diajukan (FAQ)
Q. Apakah Transfer Lock dapat sepenuhnya mencegah pembajakan domain?
Transfer Lock adalah sarana penting untuk mencegah transfer tidak sah dari luar. Namun, jika akun registrar itu sendiri berhasil dibajak, penyerang dapat membuka kunci Lock secara langsung. Kami sangat menyarankan untuk menyertakan pengaturan 2FA (terutama berbasis aplikasi) bersama dengan Transfer Lock. Jika ingin perlindungan tingkat tertinggi, menerapkan Registry Lock adalah barisan pertahanan terkuat.
Q. Apa tindakan instan yang bisa diambil saat domain dipindahkan tanpa izin?
Pertama, hubungi dukungan pelanggan registrar segera dan ajukan pembatalan transfer (Transfer Reversal). Menurut kebijakan ICANN, pembatalan dapat dilakukan dalam jangka waktu tertentu setelah transfer selesai. Secara bersamaan, kirimkan keluhan registrar ke ICANN, dan siapkan prosedur UDRP jika diperlukan. Waktu adalah kunci, jadi bertindaklah segera setelah Anda menemukannya untuk meminimalkan kerusakan.
Q. Apakah lebih aman menggunakan registrar domestik (lokal) daripada registrar luar negeri?
Kebijakan keamanan dan proses verifikasi internal registrar tersebut jauh lebih penting daripada negara asal registrar. Registrar domestik pun bisa memiliki kerentanan struktural yang sama. Registrar mana pun yang Anda gunakan, prinsipnya adalah Anda harus memeriksa dan mengatur sendiri Transfer Lock, 2FA, serta pembaruan informasi WHOIS secara langsung.



