Client Area Sign In

Openprovider Support

Contact our support department using the form on this page. For more information about the availability of our support team, please visit our Knowledge Base. Here, you can also find answers to many questions.




Maakte de AVG een einde aan domeinspam?

Een half jaar geleden werd de Algemene Verordening Gegevensbescherming, beter bekend onder de afkorting AVG of GDPR, van kracht. Het verzamelen, opslaan en publiceren van persoonsgegevens is daarmee ingeperkt en hoewel er best wat op af te dingen is her en der, is het een goede ontwikkeling dat “privacy” nu op ieders netvlies staat.
Als we naar domeinregistratie kijken, dan is de grootste impact van de AVG het afschermen van de whois van gTLD’s geweest. Ik leg deze termen even kort uit omdat ze belangrijk zijn voor het volgende van de blogpost:

  • De whois is een bron die de registratiegegevens van iedere domeinnaam bevat. De gegevens worden beheerd door registries en registrars. De opgeslagen gegevens zijn onder andere de domeinnaam, domeinstatus, vervaldatum, registrar en domeincontacten.
  • Een gTLD is elke domeinextensie die niet een landencode is: .com is een gTLD, .nl is dat niet; .info is een gTLD, .cn is dat niet; .vlaanderen is een gTLD, .be is dat niet; .eu is… tja, zelfs registry EURid weet dit niet helemaal zeker, maar wat wél zeker is, is dat .eu niet onder de regels van toezichthouder ICANN valt, dus laten we het maar een landenextensie noemen. Heel simpel (maar niet 100% correct) gezegd: iedere extensie van 3 of meer letters is een gTLD.

De blogpost zal toegespitst zijn op gTLD’s, omdat de whois van ccTLD’s (country code top level domains) in de meeste gevallen al sterk ingeperkt was voordat de AVG van kracht werd.

Het tijdperk van de onbeperkte whois

ICANN heeft in de contracten met registries en registrars altijd een open whois verplicht gesteld. Alle contactgegevens van de eigenaar, het administratieve contact en het technische contact moesten zonder beperkingen worden gepubliceerd. Ontzettend handig als je de domeinhouder wilt benaderen om zijn domein te kopen; of de technische contactpersoon omdat de nameservers niet werken; of als je met een wetenschappelijk onderzoek bezig bent; of als je merkrechtadvocaat bent en de domeinhouder wilt aanspreken op het onrechtmatige gebruik van een merk.
Aan de andere kant werkt ongelimiteerde persoonlijke data misbruik in de hand: de premier wil niet dat de hele wereld zijn telefoonnummer kent; de houder van een polariserende website wil zijn tegenstanders niet voor de deur hebben staan; de houder van een net geregistreerde website wil niet bedolven worden onder allerlei aanbiedingen voor webdesign of zoekmachinediensten.
Dit laatste voorbeeld is waar deze blogpost over gaat.

Een zijsprongetje: hoe makkelijk was het om alle gegevens van net geregistreerde domeinen te verkrijgen? Heel makkelijk! Alle gTLD’s moeten verplicht hun zonefiles (“domeinlijsten”) publiceren. Ik kon (en kan nog steeds) op elk moment een volledige lijst krijgen van de geregistreerde gTLD’s – niet minder dan 200.000.000 stuks! – en daarmee de whois afstruinen op zoek naar persoonsgegevens. Als ik dat elke dag doe, kan ik eenvoudig zien welke domeinen de afgelopen 24 uur geregistreerd zijn.

Het tijdperk van de afgeschermde whois

Sinds de AVG van kracht is zijn de in de whois gepubliceerde gegevens sterk ingeperkt. Alleen de bedrijfsnaam, provincie en landcode van de domeinhouder worden nog getoond, samen met een geanonimiseerd e-mailadres of een link naar een webformulier om contact op te nemen met een van de contacten. Zie bijvoorbeeld de uitvoer van openprovider.com hier rechts; klik op de afbeelding om hem groter te maken.
In andere woorden: er is geen relatie meer te maken tussen domeinnaam en e-mailadres. Niemand kan het e-mailadres van een houder meer vinden in de whoisgegevens van het betreffende domein.

Dus we zijn eindelijk van domeinspam af!?

Door het bovenstaande zou je denken dat we van de oude, malafide praktijken af zijn. Helaas komt de theorie niet altijd overeen met de praktijk… Onlangs namen twee van onze belangrijkste klanten onafhankelijk van elkaar contact met ons op, omdat ze vragen van eindgebruikers kregen: deze klaagden over domein-gerelateerde spam op onlangs geregistreerde domeinnamen.
Hun terechte vraag was: lekt Openprovider ergens persoonsgegevens? Het antwoord op die vraag is “nee”. Wij hebben iedere case op zichzelf kunnen terugbrengen naar een logische verklaring.

Feit: de gegevens worden nergens gepubliceerd

Wat zijn de potentiële lekken? Allereerst natuurlijk onze eigen whoisserver, ook weer een verplichting van ICANN. Ik kan echter garanderen dat hierdoor geen gegevens lekken, simpelweg omdat de tekst “REDACTED FOR PRIVACY” hard-coded in onze implementatie opgenomen is. Al zouden we willen, we kúnnen geen persoonsgegevens teruggeven!
Dat brengt ons bij de whoisserver van de registry. De meeste vragen kregen we over .com- en .net-domeinen. Opnieuw kan ik je met 100% zekerheid garanderen dat hier geen lek zit. Verisign, de registry voor .com en .net, ként het begrip “contact” niet eens! Met andere woorden, wij sturen geen contactgegevens naar Verisign.
Andere registries draaien wel hun eigen whoisservers inclusief door henzelf opgeslagen persoonsgegevens. Maar net als registrars zijn ook registries gehouden aan de nieuwe ICANN-regels. Direct na 25 mei hebben deze registries de gegevens op dezelfde manier afgeschermd als wij dat doen. Ik kan mijn hand niet voor alle gTLD-registries in het vuur steken, maar de klachten zijn over de grootste: .org, .biz en .info; slechts eenmaal over .art. Ik kan dus niet voor iedereen spreken, maar ik ben er redelijk zeker van dat hier geen datalek zit.

Opnieuw een zijsprongetje: het is belangrijk om het verschil tussen verzamelen en publiceren te begrijpen. Onder de motorkap worden nog steeds persoonsgegevens verzameld en in sommige gevallen ook gedeeld, bijvoorbeeld met de escrowprovider om continuïteit te garanderen. Publicatie echter is heel erg ingeperkt.

Voor andere potentiële datalekken moet je de schimmigheid in duiken: natuurlijk kunnen onze systemen gehackt zijn (al is er niets dat daarop wijst), natuurlijk kunnen registry-systemen gehackt zijn (lijkt ons ook niet heel waarschijnlijk), of de escrowprovider (waar we alleen versleutelde bestanden heen sturen). En natuurlijk kan ook jouw systeem gehackt zijn, maar ook dat lijkt me onwaarschijnlijk: een klant hacken puur om registratiegegevens buit te maken?
Al met al, ik denk niet dat inbreken in systemen de reden is dat het spammen nog steeds op deze schaal doorgaat.

Vermoeden: wat gebeurt er dan?

Alle gevallen die wij bekeken hebben vallen binnen drie scenario’s. Hiervan zijn de tweede en derde het meest voor de hand liggend om op grote schaal gebruikt te worden. Terugkomend op de zonefiles: weet dat deze nog steeds vrij beschikbaar zijn! Je kan nog steeds heel makkelijk achterhalen welke domeinen in de afgelopen 24 uur geregistreerd zijn.

  1. Sommige websites tonen hun eigen contactgegevens: als je domein-x.nl registreert en op de homepage een grote banner plaatst met “E-mail me op info@domein-x.nl!”, dan kies je er zelf voor de persoonsgegevens te publiceren.
  2. Spammers gebruiken vaak standaard e-mailadressen: als domein-y.nl geregisteerd is, sturen zij een mailtje aan info@domein-y.nl.
  3. Een stuk geavanceerder is het gebruik van professionele dataproviders zoals domaintools.com of whoxy.com. Deze providers hebben over de afgelopen decennia de geschiedenis van miljoenen domeinen verzameld, inclusief persoonsgegevens van voor 25 mei. Hoewel het me sterk lijkt dat dit nog steeds is toegestaan, is het een feit dat het gebeurt. Ik laat dat zien aan de hand van enkele voorbeelden.

Voorbeeld 1: openprovider.page

Het domein openprovider.page is op 10 oktober dit jaar geregistreerd op naam van Openprovider, op ons huidige adres (Kipstraat in Rotterdam) – wat uiteraard onzichtbaar is in de whois. Als ik dit domein op Whoxy.com opzoek, claimen zij de volledige houdergegevens te kennen:

Whois spam openprovider.page
Maar als je goed kijkt zie je dat dat onjuist is: wij zijn zo’n 15 jaar geleden van het getoonde adres wegverhuisd, de contactpersoon is wel iemand van binnen ons bedrijf maar niet aan het domein gekoppeld en de overige gegevens zijn ook onjuist.
Ik vermoed dat deze gegevens overgenomen zijn van een ouder domein (een testdomein zelfs?) dat ook op naam van “Openprovider” stond.

Voorbeeld 2: onjuiste historische gegevens

Het tweede voorbeeld (omdat het domein eigendom is van een onwetende domeinhouder houd ik de domeinnaam even in het midden) versterkt dit vermoeden. De publieke whois laat zien dat de eigenaar het Nederlandse bedrijf Masoko is. Whoxy.com (nee, ik heb geen aandelen…) laat inderdaad Masoko als eigenaar zien, maar de contactgegevens zijn die van een Zweeds bedrijf dat toevallig dezelfde naam heeft, maar verder helemaal losstaat van de rechtmatige eigenaar:

Voorbeeld 3: AVG-afgeschermde gegevens

Mijn laatste voorbeeld is een domein dat op naam van bedrijf Proto-Service geregistreerd is. Het lijkt erop dat Whoxy.com deze naam nog niet eerder is tegengekomen en dus niet eerder gegevens heeft kunnen verzamelen. De output is daarom gelijk aan wat er in de whois staat: “REDACTED FOR PRIVACY”:

Wat bewijst dit?

Ik moet eerlijk zijn: deze voorbeelden onderbouwen mijn vermoedens maar bewijzen niet echt iets. Je kan dit een bias noemen, een vooroordeel. Ik hoop echter wel dat je begrijpt waarom wij domeinspam liever afdoen als het resultaat van een slimme profiteur dan van een datalek.
Ieder geval dat wij tot nu toe hebben bekeken is te herleiden tot wat ik in deze blogpost schrijf.
Dat neemt niet weg dat ik heel graag een voorbeeld zou zien dat ik niet zo snel kan verklaren: een domein, geregistreerd op een uniek e-mailadres dat nergens anders wordt gebruikt, waarop domeinspam binnenkomt. Voorbeeld: domein-z.nl wordt geregistreerd met voornaam@domein-z.nl, waarbij voornaam@domein-z.nl nergens op internet te vinden is. Is het mogelijk dat je spam op dit adres ontvangt? Ik betwijfel het! Maar kom je het tegen, dan zoeken we het uit en trakteren we je op een biertje.

En de vraag dan?

Je hebt gelijk: de vraag in het onderwerp van deze blogpost is of de AVG geleid heeft tot minder domeinspam. Eerlijk gezegd weet ik dat niet. Ondanks de titel was mijn doel het verklaren van het nog steeds voorkomen hiervan, en niet het doen van een statistisch onderzoek. Dat mogen de experts doen! Zo heeft een van de grootste spambestrijders, Spamhouse, nog geen duidelijk verschil gezien en stelt dat het nog veel te vroeg is om conclusies te trekken.

Je moet inloggen om een reactie te kunnen plaatsen.
Menu