Maakte de AVG een einde aan domeinspam?

Een half jaar geleden werd de Algemene Verordening Gegevensbescherming, beter bekend onder de afkorting AVG of GDPR, van kracht. Het verzamelen, opslaan en publiceren van persoonsgegevens is daarmee ingeperkt. Hoewel er best wat op af te dingen is her en der, is het een goede ontwikkeling dat “privacy” nu op ieders netvlies staat.

Als we naar domeinregistratie kijken, dan is de grootste impact van de AVG het afschermen van de whois van gTLD’s geweest. We leggen deze termen even kort uit omdat ze belangrijk zijn voor het volgende van de blogpost.

• De whois is een bron die de registratiegegevens van iedere domeinnaam bevat. De gegevens worden beheerd door registries en registrars. De opgeslagen gegevens zijn onder andere de domeinnaam, domeinstatus, vervaldatum, registrar en domeincontacten.
• Een gTLD is elke domeinextensie die niet een landencode is. .com is een gTLD, .nl is dat niet. .info is een gTLD, .cn is dat niet. .vlaanderen is een gTLD, .be is dat niet. .eu is… tja, zelfs registry EURid weet dit niet helemaal zeker, maar wat wél zeker is, is dat .eu niet onder de regels van toezichthouder ICANN valt, dus laten we het maar een landenextensie noemen. Heel simpel (maar niet 100% correct) gezegd: iedere extensie van 3 of meer letters is een gTLD.

De blogpost zal toegespitst zijn op gTLD’s, omdat de whois van ccTLD’s (country code top level domains) in de meeste gevallen al sterk ingeperkt was voordat de AVG van kracht werd.

Het tijdperk van de onbeperkte whois is voorbij

ICANN heeft in de contracten met registries en registrars altijd een open whois verplicht gesteld. Alle contactgegevens van de eigenaar, het administratieve contact en het technische contact moesten zonder beperkingen worden gepubliceerd. Ontzettend handig, als je de domeinhouder wilt benaderen om zijn domein te kopen. Of de technische contactpersoon omdat de nameservers niet werken; of als je met een wetenschappelijk onderzoek bezig bent; of als je merkrechtadvocaat bent en de domeinhouder wilt aanspreken op het onrechtmatige gebruik van een merk.

Aan de andere kant werkt ongelimiteerde persoonlijke data misbruik in de hand. De premier wil niet dat de hele wereld zijn telefoonnummer kent; de houder van een polariserende website wil zijn tegenstanders niet voor de deur hebben staan; en de houder van een net geregistreerde website wil niet bedolven worden onder allerlei aanbiedingen voor webdesign of zoekmachinediensten.

Dit laatste voorbeeld is waar deze blogpost over gaat.

Een zijsprongetje: hoe makkelijk was het om alle gegevens van net geregistreerde domeinen te verkrijgen? Heel makkelijk! Alle gTLD’s moeten verplicht hun zonefiles (“domeinlijsten”) publiceren. Ik kon (en kan nog steeds) op elk moment een volledige lijst krijgen van de geregistreerde gTLD’s – niet minder dan 200.000.000 stuks! – en daarmee de whois afstruinen op zoek naar persoonsgegevens. Als ik dat elke dag doe, kan ik eenvoudig zien welke domeinen de afgelopen 24 uur geregistreerd zijn.

Het tijdperk van de afgeschermde whois

Sinds de AVG van kracht is zijn de in de whois gepubliceerde gegevens sterk ingeperkt. Alleen de bedrijfsnaam, provincie en landcode van de domeinhouder worden nog getoond, samen met een geanonimiseerd e-mailadres of een link naar een webformulier om contact op te nemen met de domeinhouder.

In andere woorden: er is geen relatie meer te maken tussen domeinnaam en e-mailadres. Niemand kan het e-mailadres van een houder meer vinden in de whoisgegevens van het betreffende domein.

Dus we zijn door de AVG eindelijk van domeinspam af!?

Door het bovenstaande zou je denken dat we door de AVG van de oude, malafide praktijken van domeinspam af zijn. Helaas komt de theorie niet altijd overeen met de praktijk…

Onlangs namen twee van onze belangrijkste klanten onafhankelijk van elkaar contact met ons op, omdat ze vragen van eindgebruikers kregen. Deze klaagden over domein-gerelateerde spam op onlangs geregistreerde domeinnamen.

Hun terechte vraag was: lekt Openprovider ergens persoonsgegevens? Het antwoord op die vraag is “nee”. Wij hebben iedere case op zichzelf kunnen terugbrengen naar een logische verklaring.

Feit: de gegevens worden nergens gepubliceerd

Wat zijn de potentiële lekken? Allereerst natuurlijk onze eigen whoisserver, ook weer een verplichting van ICANN. We kunnen echter garanderen dat hierdoor geen gegevens lekken, simpelweg omdat de tekst “REDACTED FOR PRIVACY” hard-coded in onze implementatie opgenomen is. Al zouden we willen, we kúnnen geen persoonsgegevens teruggeven!

Dat brengt ons bij de whoisserver van de registry. De meeste vragen kregen we over .com- en .net-domeinen. Opnieuw kunnen we je met 100% zekerheid garanderen dat hier geen lek zit. Verisign, de registry voor .com en .net, ként het begrip “contact” niet eens! Met andere woorden, wij sturen geen contactgegevens naar Verisign.

Andere registries draaien wel hun eigen whoisservers inclusief door henzelf opgeslagen persoonsgegevens. Maar net als registrars zijn ook registries gehouden aan de nieuwe ICANN-regels. Direct na 25 mei hebben deze registries de gegevens op dezelfde manier afgeschermd als wij dat doen. We kunnen onze hand niet voor alle gTLD-registries in het vuur steken, maar de klachten die wij hebben ontvangen gaan over grote registries: .org, .biz en .info; en eenmaal over .art. Ik kan dus niet voor iedereen spreken, maar ik ben er redelijk zeker van dat hier geen datalek zit.

Opnieuw een zijsprongetje: het is belangrijk om het verschil tussen data verzamelen en publiceren te begrijpen. Onder de motorkap worden nog steeds persoonsgegevens verzameld en in sommige gevallen ook gedeeld, bijvoorbeeld met de escrowprovider om continuïteit te garanderen. Publicatie echter is heel erg ingeperkt.

Voor andere potentiële datalekken moet je de schimmigheid in duiken. Natuurlijk kunnen onze systemen gehackt zijn (al is er niets dat daarop wijst), natuurlijk kunnen registry-systemen gehackt zijn (lijkt ons ook niet heel waarschijnlijk), of de escrowprovider (waar we alleen versleutelde bestanden heen sturen). En natuurlijk kan ook jouw systeem gehackt zijn, maar ook dat lijkt me onwaarschijnlijk: een klant hacken puur om registratiegegevens buit te maken?

Al met al, systeeminbraak zal waarschijnlijk niet de reden zijn dat domeinspam ondanks de AVG nog steeds op deze schaal doorgaat.

Maar wat gebeurt er dan?

Alle gevallen die wij bekeken hebben vallen binnen drie scenario’s. Hiervan zijn de tweede en derde het meest voor de hand liggend om op grote schaal gebruikt te worden. Terugkomend op de zonefiles: weet dat deze nog steeds vrij beschikbaar zijn! Je kan nog steeds heel makkelijk achterhalen welke domeinen in de afgelopen 24 uur geregistreerd zijn.

1. Sommige websites tonen hun eigen contactgegevens. Als je domein-x.nl registreert en op de homepage een grote banner plaatst met “E-mail me op info@domein-x.nl!”, dan kies je er zelf voor de persoonsgegevens te publiceren.
2. Spammers gebruiken vaak standaard e-mailadressen. Als domein-y.nl geregisteerd is, sturen zij een mailtje aan info@domein-y.nl.
3. Een stuk geavanceerder is het gebruik van professionele dataproviders zoals domaintools.com of whoxy.com. Deze providers hebben over de afgelopen decennia de geschiedenis van miljoenen domeinen verzameld, inclusief persoonsgegevens van voor 25 mei. Hoewel het ons sterk lijkt dat dit nog steeds is toegestaan, is het een feit dat het gebeurt. We laten dit zien aan de hand van enkele voorbeelden.

Voorbeeld 1: openprovider.page

Het domein openprovider.page is op 10 oktober dit jaar geregistreerd op naam van Openprovider, op ons huidige adres (Kipstraat in Rotterdam) – wat uiteraard onzichtbaar is in de whois. Als we dit domein op Whoxy.com opzoeken, claimen zij de volledige houdergegevens te kennen.

Maar als je goed kijkt zie je dat dat onjuist is: wij zijn zo’n 15 jaar geleden van het getoonde adres verhuisd, de contactpersoon is wel iemand van binnen ons bedrijf maar niet aan het domein gekoppeld en de overige gegevens zijn ook onjuist.
Ik vermoed dat deze gegevens overgenomen zijn van een ouder domein (een testdomein zelfs?) dat ook op naam van “Openprovider” stond.

Voorbeeld 2: onjuiste historische gegevens

Het tweede voorbeeld (omdat het domein eigendom is van een onwetende domeinhouder houden we de domeinnaam even in het midden) versterkt dit vermoeden. De publieke whois laat zien dat de eigenaar het Nederlandse bedrijf Masoko is. Whoxy.com (nee, we hebben geen aandelen…) laat inderdaad Masoko als eigenaar zien, maar de contactgegevens zijn die van een Zweeds bedrijf dat toevallig dezelfde naam heeft, maar verder helemaal losstaat van de rechtmatige eigenaar.

Voorbeeld 3: AVG-afgeschermde gegevens

Het laatste voorbeeld is een domein dat op naam van bedrijf Proto-Service geregistreerd is. Het lijkt erop dat Whoxy.com deze naam nog niet eerder is tegengekomen en dus niet eerder gegevens heeft kunnen verzamelen. De output is daarom gelijk aan wat er in de whois staat: “REDACTED FOR PRIVACY”.

Dus de AVG heeft domeinspam niet opgelost?

We moeten eerlijk zijn: deze voorbeelden onderbouwen onze vermoedens bij Openprovider, maar bewijzen niet echt iets. Je kan dit een bias noemen, een vooroordeel. We hopen echter wel dat je begrijpt waarom wij domeinspam onder de AVG liever afdoen als het resultaat van slimme profiteurs dan van een datalek.
Ieder geval dat wij tot nu toe hebben bekeken is te herleiden tot wat in deze blogpost staat.

Dat neemt niet weg dat we heel graag een voorbeeld zouden zien dat we niet zo snel kan verklaren. Een domein, geregistreerd op een uniek e-mailadres dat nergens anders wordt gebruikt, waarop domeinspam binnenkomt. Voorbeeld: domein-z.nl wordt geregistreerd met voornaam@domein-z.nl, waarbij voornaam@domein-z.nl nergens op internet te vinden is. Is het mogelijk dat je spam op dit adres ontvangt? Wij betwijfelen het! Maar kom je het tegen, dan zoeken we het uit en trakteren we je op een biertje.

Of de AVG nu echt geleid heeft tot minder domeinspam, weten wij eerlijk gezegd niet. Ondanks de titel was ons doel het verklaren van het nog steeds voorkomen van domeinspam onder de AVG, en niet het doen van een statistisch onderzoek. Dat mogen de experts doen! Zo heeft een van de grootste spambestrijders, Spamhouse, nog geen duidelijk verschil gezien en stelt dat het nog veel te vroeg is om conclusies te trekken.