
<div dir="ltr">Once a registrant's account is taken over, the legitimate registrant effectively becomes a third party.<div><br></div><div>"ownership certification" should be the bare minimum for every single registrar. It's perverse to say that protections from account takeover should be a premium, optional service. </div><div><br></div><div>It is the fundamental function of the service itself. Most major registrars recognize this and offer 2fa for free, especially after some high profile takeovers damaged their brand.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 8, 2017 at 11:41 AM, Andrew Sullivan <span dir="ltr"><<a href="mailto:ajs@anvilwalrusden.com" target="_blank">ajs@anvilwalrusden.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>

<br>

Are you proposing that "domain name management" includes third-party<br>

monitoring and detection of takeovers by unauthorized actors?<br>

<br>

Best regards,<br>

<br>

A<br>

<div class="HOEnZb"><div class="h5"><br>

On Fri, Dec 08, 2017 at 11:33:27AM -0500, allison nixon wrote:<br>

> Even from the point of view of the person controlling the domain, the<br>

> outside verification is extremely valuable. Incidents of account takeover<br>

> don't always end well for the original account holder, and companies in<br>

> general (not just registrars, but telcos, social media companies, etc), are<br>

> NOT forthcoming about details about what the bad actor did while signed<br>

> into the victim's account. Sometimes this is due to bad customer service,<br>

> or bad internal recordkeeping. Many instances of failure to return the<br>

> account to the owner is actually because historical account data is NOT<br>

> saved by the company.<br>

><br>

> For the domain takeover incidents I have seen, the current and historical<br>

> WHOIS record is not just evidence, but it is sometimes the only evidence<br>

> available as to when the activity started, what was affected, and what was<br>

> attempted. Not only that, but it serves as outside verifiable evidence that<br>

> the original registrant *really was* the original registrant. Without that,<br>

> we take the registrar's word for everything, which may or may not be<br>

> accurate or complete.<br>

><br>

><br>

> On Fri, Dec 8, 2017 at 11:27 AM, Andrew Sullivan <<a href="mailto:ajs@anvilwalrusden.com">ajs@anvilwalrusden.com</a>><br>

> wrote:<br>

><br>

> > On Fri, Dec 08, 2017 at 11:13:53AM -0500, allison nixon wrote:<br>

> > > >>Whois can be an indicator of ownership but it is not evidence.<br>

> > ><br>

> > > No, it is evidence and it has been used as evidence in the past. For<br>

> > > example one case years ago when some Army domains were hijacked and the<br>

> > > WHOIS data was changed to the name of a hacker gang. the historical whois<br>

> > > data, the date of the change, and other factors were used as evidence for<br>

> > > the timeline of events. And the people constructing that timeline were<br>

> > not<br>

> > > working for the Army and didn't own the registrar account.<br>

> ><br>

> > Well, ok, but that doesn't mean this is domain name management,<br>

> > either.  It might be some other use case (I think it probably is --<br>

> > abuse prevention or something).  The management case does seem to me<br>

> > to be only those who are directly interested in the normal operation<br>

> > of the domain from the point of view of controlling it, and the only<br>

> > question is whether the interested parties are necessarily somehow<br>

> > involved in the contractual relationship with the registry and<br>

> > involved registrars.  I think Volker is saying, "Yes," and I'm saying,<br>

> > "Maybe not."<br>

> ><br>

> > Best regards,<br>

> ><br>

> > A<br>

> ><br>

> ><br>

><br>

><br>

><br>

<br>

--<br>

Andrew Sullivan<br>

<a href="mailto:ajs@anvilwalrusden.com">ajs@anvilwalrusden.com</a><br>

______________________________<wbr>_________________<br>

gnso-rds-pdp-wg mailing list<br>

<a href="mailto:gnso-rds-pdp-wg@icann.org">gnso-rds-pdp-wg@icann.org</a><br>

<a href="https://mm.icann.org/mailman/listinfo/gnso-rds-pdp-wg" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/<wbr>listinfo/gnso-rds-pdp-wg</a><br>

</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">_________________________________<br>Note to self: Pillage BEFORE burning.</div>

</div>