Lek bij EURid misbruikt door domeinkapers
Domeinkapers hebben mogelijk een lek in het systeem van EURid misbruikt voor het massaal registreren van .eu domeinnamen die na de eerste en tweede sunrise fase zijn vrijgekomen of nog vrijkomen. Tijdens de eerste en tweede sunrise fase konden merknaamhouders e.d. al een domeinnaam claimen. Niet alle claims zijn echter toegekend, waarna niet toegekende domeinnamen weer beschikbaar komen.
EU registrars weten normaal niet welke domeinnamen er allemaal vrijkomen. Door het lek in het EURid systeem is het echter mogelijk om de complete database met 2 miljoen .eu domeinnamen te downloaden.
De ontdekker van het lek heeft EURid ingelicht, en kreeg te horen dat men het probleem meteen zou oplossen. Een week later is de informatie nog steeds voor iedereen op te vragen, wat verklaart waardoor domeinkapers als Ovidio zoveel domeinnamen wisten te registeren, aldus Jonas Eriksson.
Reacties (11)
Beste Redaktie,
Wie is Jonas Erikson en waar is de bron voor dit verhaal.
Niet dat ik het niet geloof sinds ik zelf ook ondervonden
heb dat bepaalde domeinen die ik zelf op het oog had door
Ovidio Limited zijn gekaapt maar het is wel zo fijn om er
een bron vermelding in de vorm van een link bij te
plaatsen... als dit uberhaupt mogenlijk is dan.
In dit geval zal er toch wel een link beschikbaar zijn?
Wie is Jonas Erikson en waar is de bron voor dit verhaal.
Niet dat ik het niet geloof sinds ik zelf ook ondervonden
heb dat bepaalde domeinen die ik zelf op het oog had door
Ovidio Limited zijn gekaapt maar het is wel zo fijn om er
een bron vermelding in de vorm van een link bij te
plaatsen... als dit uberhaupt mogenlijk is dan.
In dit geval zal er toch wel een link beschikbaar zijn?
Intussen reactie van EURid:
http://www.eurid.eu/en/general/news/eurid-removes-the-possibilities-to-gather-lists-of-domain-names
Het probleem werd dus weer maar eens geminimaliseerd. EURid
begint een beetje teveel fouten te maken.
http://www.eurid.eu/en/general/news/eurid-removes-the-possibilities-to-gather-lists-of-domain-names
Het probleem werd dus weer maar eens geminimaliseerd. EURid
begint een beetje teveel fouten te maken.
Die Ovidio Limited heeft inderdaad behoorlijk huisgehouden.
Wie is Ovidio? Op hun website staat:
Ovidio Limited owns a portfolio of domain names and operates
corresponding websites. Through these sites it offers
product and service information to direct navigation and
other customers. Ovidio Limited uses advanced proprietary
techniques to identify appropriate domain names for its
portfolio and seeks to avoid the registration of domain
names in respect of which third parties may have conflicting
prior rights.
Op de door deze organisatie geregistreerde domeinen
verkrijgen mensen een pagina met gesponsorde links in beeld
(zoekmachine spam?) waarbij de gelegenheid wordt gegeven het
domein te kopen (via Sedo).
.
Wie is Ovidio? Op hun website staat:
Ovidio Limited owns a portfolio of domain names and operates
corresponding websites. Through these sites it offers
product and service information to direct navigation and
other customers. Ovidio Limited uses advanced proprietary
techniques to identify appropriate domain names for its
portfolio and seeks to avoid the registration of domain
names in respect of which third parties may have conflicting
prior rights.
Op de door deze organisatie geregistreerde domeinen
verkrijgen mensen een pagina met gesponsorde links in beeld
(zoekmachine spam?) waarbij de gelegenheid wordt gegeven het
domein te kopen (via Sedo).
.
EURid removes the possibilities to gather lists of domain names
04 Jul 2006
As a part of EURid’s online service it is possible only for
registrars via the on-line registration interface to get
information about the domain names they have registered.
This feature returned more information than strictly needed,
namely the sequence number of the domain name asked for. By
using this sequence number registrars were able to extract
lists of names.
This possibility is now closed.
The feature did in no way affect the registration system as
such and did not jeopardize the fairness of the system since
all accredited registrars had the same possibilities.
As soon as this extraneous side effect of the online service
was recognized, EURid removed it.
anderen met voorkennis kon handelen. Want keurige registrars
gaven aan dat zulke domeinen niet registreerbaar waren, niet
wanneer deze vrij zouden komen.
Als je kijkt in de lijst met registrars op de EURid website,
zie je hier opvallend veel registrars uit New York tussen
staan. Deze hebben namen als: Atlas Domain Agency LLC of
WorldOne NetBrands LLC en andere LLC namen.
Deze registrars hebben met zijn allen onder de naam Ovidio
Limited .eu domeinnamen gekaapt. Technisch is het namelijk
onmogelijk dat 1 partij zoveel domeinnamen in zijn eentje
kan registreren en dat ook op de dag van registratie, exact
om 11:00 uur.
Toch ben ik ook wel benieuwd naar de bron van Jonas
Eriksson. Volgens de statement van EURid was er namelijk
nooit de mogelijkheid tot “vals spelen”.
zie je hier opvallend veel registrars uit New York tussen
staan. Deze hebben namen als: Atlas Domain Agency LLC of
WorldOne NetBrands LLC en andere LLC namen.
Deze registrars hebben met zijn allen onder de naam Ovidio
Limited .eu domeinnamen gekaapt. Technisch is het namelijk
onmogelijk dat 1 partij zoveel domeinnamen in zijn eentje
kan registreren en dat ook op de dag van registratie, exact
om 11:00 uur.
Toch ben ik ook wel benieuwd naar de bron van Jonas
Eriksson. Volgens de statement van EURid was er namelijk
nooit de mogelijkheid tot “vals spelen”.
Ook ik wilde een domein hebben wat Ovidio Limited wegkaapte.
Heb wel contact met ze gehad. Kan ik iets tegen die gasten
beginnen?
Heb wel contact met ze gehad. Kan ik iets tegen die gasten
beginnen?
Ook ik wilde een domein hebben wat Ovidio Limited
wegkaapte.
Heb wel contact met ze gehad. Kan ik iets tegen die gasten
beginnen?
Voor een bedrag van $69 gaat Sedo.dewegkaapte.
Heb wel contact met ze gehad. Kan ik iets tegen die gasten
beginnen?
onderhandelen met dat bedrijf. Wanneer de onderhandelingen
stuk lopen komen daar geen kosten bij, wel ben je dat bedrag
kwijt. Tijdens de onderhandelingen zal Ovidio aangeven welk
bedrag zij voor het door jouw gewenste domein willen hebben.
11-07-2006, 10:20 door
EARLYBIRD
Ovidio is volgens mij gewoon GoDaddy, Inc en heeft er kennelijk
plezier in EURid een hak te zetten, iets wat ik overigens toejuich.
Ovidio Limited is overigens gebleken bijzonder redelijk
te zijn, als je kan aantonen dat je een handelsmerk hebt dan
geven ze hem gewoon kostenloos terug. Ik heb verschillende
bedrjiven gesproken die een sunrise 1 aanvraag op basis van
Benelux Merkenburo registratie hebben gedaan, die om de
meest vage redenen (waarschijnlijk tijdgebrek bij PWC) plots
allemaal zijn afgewezen en vervolgens bij vrijgave door
Ovidio zijn geregistreerd. Met enige druk op Ovidio was het
zo geregeld.
Wij zijn overigens met een aantal mensen een forum gestart
over de hele werkwijze van EURid en we willen graag feedback
van mensen wiens domeinnaam is gekaapte, zie
http://www.euridforum.eu/
plezier in EURid een hak te zetten, iets wat ik overigens toejuich.
Ovidio Limited is overigens gebleken bijzonder redelijk
te zijn, als je kan aantonen dat je een handelsmerk hebt dan
geven ze hem gewoon kostenloos terug. Ik heb verschillende
bedrjiven gesproken die een sunrise 1 aanvraag op basis van
Benelux Merkenburo registratie hebben gedaan, die om de
meest vage redenen (waarschijnlijk tijdgebrek bij PWC) plots
allemaal zijn afgewezen en vervolgens bij vrijgave door
Ovidio zijn geregistreerd. Met enige druk op Ovidio was het
zo geregeld.
Wij zijn overigens met een aantal mensen een forum gestart
over de hele werkwijze van EURid en we willen graag feedback
van mensen wiens domeinnaam is gekaapte, zie
http://www.euridforum.eu/
[QUOTE=EARLYBIRD]Met enige druk op Ovidio was het
zo geregeld.[/QUOTE]
Ja, zal best? Ik denk toch echt eerder dat er betaald moest
worden voor de overdracht.
Een minum bedrag van €500 of zo of iets in die richting
sinds een procedure op starten via adr.eu al €2000 kost.
Ovidio goeie gasten?
Als jij een consortium van nep registrars die alleen maar
dienen om enkele personen te verijken door middel van het
hele Eurid systeem te kapen in plaats van dat deze
"registrars" voor europese burgers en bedrijven domeinen
registreren...begrijp je er jammer genoeg niets van.
Het woord "goed" kan in geen geval met Ovidio Limited
gekoppeld worden behalve in één geval en dat is dat ze Eurid
"goed" gekaapt hebben.
Ovidio is volgens jouw gewoon Godaddy, Inc?
Waar heb je die onzin toch vandaan?
zo geregeld.[/QUOTE]
Ja, zal best? Ik denk toch echt eerder dat er betaald moest
worden voor de overdracht.
Een minum bedrag van €500 of zo of iets in die richting
sinds een procedure op starten via adr.eu al €2000 kost.
Ovidio goeie gasten?
Als jij een consortium van nep registrars die alleen maar
dienen om enkele personen te verijken door middel van het
hele Eurid systeem te kapen in plaats van dat deze
"registrars" voor europese burgers en bedrijven domeinen
registreren...begrijp je er jammer genoeg niets van.
Het woord "goed" kan in geen geval met Ovidio Limited
gekoppeld worden behalve in één geval en dat is dat ze Eurid
"goed" gekaapt hebben.
Ovidio is volgens jouw gewoon Godaddy, Inc?
Waar heb je die onzin toch vandaan?
11-07-2006, 13:44 door
EARLYBIRD
Ik heb veelvuldig gecorrospondeerd met Ovidio en al hun
mails komen zonder uitzondering van steeds wisselende IP
adressen in 64.202.160/19, en dat is volgens ARIN de
namespace van GoDaddy, Inc, zie:
http://ws.arin.net/whois/?queryinput=64.202.160.0
Ik zeg niet dat Ovidio gelijk staat aan GoDaddy, juridisch
zal het allemaal volstrekt gescheiden zijn, maar een ding is
zeker: Bob Parson lacht hard mee en heeft er vast geen
bezwaar tegen.
En met je laatste statement ben ik het volslagen eens, en
hoewel niet erg ethisch van GoDaddy kan ik het na alles
gelezen en gehoord hebben wel waarderen dat er partijen zijn
die EURid op een dergelijke wijze hebben aangepakt.
EURid is gebleken, ook in mijn persoonlijke correspondentie
met verschillende personen, volstrekt incompetent te zjin in het
uitvoeren van hun opdracht. Ik realiseer me daarbij ook dat
EURid met handen en voeten is gebonden aan de instructies
vanuit de EU, maar als ze werkelijk er wat hadden tegen
willen doen hadden ze gewoon de opdracht terug moeten geven.
De lancering van .eu is ruim 3 jaar steeds uitgesteld, met
zoveel tijd ertussen kan je toch verwachten dat er mensen
heel goed gaan nadenken over hoe de regels omzeilen zonder
daarbij juridisch over de streep te gaan.
EURid vraagt er ook volledig zelf om: bij elk verzoek om
informatie of openheid verschuilen ze zich achter de
juridische formaliteiten. Ze hadden die top 500 fantoom
registries die voor 50 euro per stuk zijn opgericht gewoon
moeten aanpakken, maar hebben zich ervan af gemaakt met de
stelling dat iedere registrar gecontroleerd is op zijn
bevoegdheid en deligentie.
Die keuze is in het verleden gemaakt, waarschijnlijk omdat
ze er hun vingers niet aan wilden branden (over de echte
motieven krijg ik steeds ontwijkende antwoorden) met het
huidige fiasco als resultaat.
Dan kunnen Linden en Walraet nog zo mooie verhalen ophangen
over dat veel registries concurrentie dus voordeel oplevert,
maar onder de streep hebben ze daar in Diegem maar een ding
gedaan: gecontroleerd of die check van EUR 10k is
binnengekomen die een registry moet voldoen voor
accreditatie en voor de rest beschouwen ze het niet als hun
verantwoordelijkheid.
Zelfs van mijn overheid pik ik een dergelijke buraucratische
opstelling niet, EURid wordt mede gefinancierd uit publiek
geld van de EU burger en lijkt gewoon weg te komen met
dit WANBELEID.
Het wordt hoog tijd dat EURid eens wat openheid gaat geven
over wat er nu precies aan de hand is.
mails komen zonder uitzondering van steeds wisselende IP
adressen in 64.202.160/19, en dat is volgens ARIN de
namespace van GoDaddy, Inc, zie:
http://ws.arin.net/whois/?queryinput=64.202.160.0
Ik zeg niet dat Ovidio gelijk staat aan GoDaddy, juridisch
zal het allemaal volstrekt gescheiden zijn, maar een ding is
zeker: Bob Parson lacht hard mee en heeft er vast geen
bezwaar tegen.
En met je laatste statement ben ik het volslagen eens, en
hoewel niet erg ethisch van GoDaddy kan ik het na alles
gelezen en gehoord hebben wel waarderen dat er partijen zijn
die EURid op een dergelijke wijze hebben aangepakt.
EURid is gebleken, ook in mijn persoonlijke correspondentie
met verschillende personen, volstrekt incompetent te zjin in het
uitvoeren van hun opdracht. Ik realiseer me daarbij ook dat
EURid met handen en voeten is gebonden aan de instructies
vanuit de EU, maar als ze werkelijk er wat hadden tegen
willen doen hadden ze gewoon de opdracht terug moeten geven.
De lancering van .eu is ruim 3 jaar steeds uitgesteld, met
zoveel tijd ertussen kan je toch verwachten dat er mensen
heel goed gaan nadenken over hoe de regels omzeilen zonder
daarbij juridisch over de streep te gaan.
EURid vraagt er ook volledig zelf om: bij elk verzoek om
informatie of openheid verschuilen ze zich achter de
juridische formaliteiten. Ze hadden die top 500 fantoom
registries die voor 50 euro per stuk zijn opgericht gewoon
moeten aanpakken, maar hebben zich ervan af gemaakt met de
stelling dat iedere registrar gecontroleerd is op zijn
bevoegdheid en deligentie.
Die keuze is in het verleden gemaakt, waarschijnlijk omdat
ze er hun vingers niet aan wilden branden (over de echte
motieven krijg ik steeds ontwijkende antwoorden) met het
huidige fiasco als resultaat.
Dan kunnen Linden en Walraet nog zo mooie verhalen ophangen
over dat veel registries concurrentie dus voordeel oplevert,
maar onder de streep hebben ze daar in Diegem maar een ding
gedaan: gecontroleerd of die check van EUR 10k is
binnengekomen die een registry moet voldoen voor
accreditatie en voor de rest beschouwen ze het niet als hun
verantwoordelijkheid.
Zelfs van mijn overheid pik ik een dergelijke buraucratische
opstelling niet, EURid wordt mede gefinancierd uit publiek
geld van de EU burger en lijkt gewoon weg te komen met
dit WANBELEID.
Het wordt hoog tijd dat EURid eens wat openheid gaat geven
over wat er nu precies aan de hand is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
