image

SIDN lekte gegevens domeinnaamhouders via Whois op Sidn.nl

maandag 9 september 2024, 21:04 door Redactie, 18 reacties

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft vandaag de gegevens van domeinnaamhouders via de Whois op Sidn.nl gelekt. Dit is de zoekfunctie op Sidn.nl waarmee informatie over een domeinnaam is op te zoeken. Gegevens van zakelijke domeinnaamhouders zijn openbaar, gegevens van particuliere domeinnaamhouders mogen niet gepubliceerd worden.

"Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar", aldus een verklaring van SIDN. De gelekte gegevens bestaan uit naam, adresgegevens, e-mailadres en telefoonnummer van de houder.

"Deze gegevens horen alleen zichtbaar te zijn voor de beherende registrar en SIDN", legt de stichting uit. Er is inmiddels een onderzoek gestart naar de exacte impact. SIDN zegt maatregelen te treffen om een dergelijk datalek in de toekomst te voorkomen. Daarnaast zal er melding worden gedaan bij de Autoriteit Persoonsgegevens.

Reacties (18)
09-09-2024, 21:54 door Anoniem
Dus whois werkte naar behoren via de command-line en via RDAP, en ook via de oude webservers, maar het ging mis via de nieuwe webservers. Dan zat de fout niet in de onderliggende database, want als dat zo was waren alle vormen van toegang fout gegaan. De fout zat dus in de nieuwe webservers, met neem ik aan een nieuwe webapplicatie om whois uit te vragen (want als er niets verandert hoef je niets te veranderen).

Mensen (bij SIDN), dan heb je toch voordat je live gaat een goed doordachte verzameling tests op de nieuwe webapplicatie losgelaten om te zien of alles naar behoren functioneert? Dit komt over alsof jullie een grote wijziging ongetest of zwaar onvoldoende getest in productie hebben genomen.

Hoe kon dit gebeuren? Is misschien niet alleen het ontwikkelen maar ook het testen uitbesteed aan een externe partij? Als dat zo is: fout! Je moet zelf nagaan of het doet wat je zelf vindt dat het moet doen. Er zitten grenzen aan wat je over de muur kan gooien.
09-09-2024, 22:35 door Anoniem
Vanaf dag een hebben ze daar al een matig team, en dat komt tot uitdrukking met dit soort voorvallen.
10-09-2024, 08:12 door Anoniem
Tot 10 jaar geleden, kon je deze gegevens gewoon zien.. Het gaf ook een vorm van veiligheid als je kon zien van wie een domein was. Door alle privacy gekkies kunnen we dit niet meer zien, daarmee is de wereld weer een stukje onveiliger geworden.
10-09-2024, 08:57 door Anoniem
Maar het kwaad is al geschied. Want als deze info publiekelijk beschikbaar is geweest dan hebben scrapers het al opgepakt. Ik zal dus een hoop spam kunnen verwachten op zowel het e-mailadres als het fysieke adres. Best wel belachelijk dat het überhaupt nodig is om een echt fysiek op te moeten geven voor de Whois.
10-09-2024, 09:01 door Anoniem
O fijn, niets is veilig. Waarom ook niet van alle mensen de NAW gegevens gewoon vrij toegankelijk maken dan kan er niets meer lekken.
10-09-2024, 09:51 door _R0N_
Door Anoniem: Maar het kwaad is al geschied. Want als deze info publiekelijk beschikbaar is geweest dan hebben scrapers het al opgepakt. Ik zal dus een hoop spam kunnen verwachten op zowel het e-mailadres als het fysieke adres. Best wel belachelijk dat het überhaupt nodig is om een echt fysiek op te moeten geven voor de Whois.

Best wel belachelijk dat het niet zichtbaar is in de whois, door het te verbergen maak je het kwaadwillenden een stuk makkelijker een malafide website op te zetten.
Voor alle online winkels die wel gewoon betrouwbaar zijn moeten contact gegevens, ja ook fysiek adres, gewoon op de website staan.
10-09-2024, 10:09 door Anoniem
Door Anoniem: Maar het kwaad is al geschied. Want als deze info publiekelijk beschikbaar is geweest dan hebben scrapers het al opgepakt.
Dat zal wel meevallen. Whois servers zijn traag en hebben een (lage) limiet op het gebruik.
10-09-2024, 10:10 door Anoniem
Door _R0N_:
Door Anoniem: Maar het kwaad is al geschied. Want als deze info publiekelijk beschikbaar is geweest dan hebben scrapers het al opgepakt. Ik zal dus een hoop spam kunnen verwachten op zowel het e-mailadres als het fysieke adres. Best wel belachelijk dat het überhaupt nodig is om een echt fysiek op te moeten geven voor de Whois.

Best wel belachelijk dat het niet zichtbaar is in de whois, door het te verbergen maak je het kwaadwillenden een stuk makkelijker een malafide website op te zetten.
Voor alle online winkels die wel gewoon betrouwbaar zijn moeten contact gegevens, ja ook fysiek adres, gewoon op de website staan.

Dat is helemaal niet belachelijk. Voor zakelijke domeinnamen langer namelijk gewoon zichtbaar. En voor niet-zakelijke domeinnamen (privé-personen) is het niet openbaar en kunnen alleen autoriteiten erbij. Dit is juist voor de veiligheid gedaan waar jij blijkbaar waarde aan hecht, omdat alles wat in de Whois-registers staat en openbaar is misbruikt wordt voor spam en door kwaadwillenden. Je wilt niet dat iemand met een persoonlijke website hieraan wordt blootgesteld. Privacy is erg nodig om mensen te beschermen en de veiligheid te waarborgen.
10-09-2024, 10:12 door Anoniem
Vanaf dag een hebben ze daar al een matig team, en dat komt tot uitdrukking met dit soort voorvallen.
Klinkt meer als een uitdrukking van persoonlijke frustratie, ik gok over poldermodel-beleid dat onmogelijk alle stakeholders 100% tevreden kan maken, dan een werkelijk objectieve evaluatie. Sowieso was er op dag één geen team.

O fijn, niets is veilig. Waarom ook niet van alle mensen de NAW gegevens gewoon vrij toegankelijk maken dan kan er niets meer lekken.
Zo was het, en dat was helemaal niet zo slecht.
De enige persoon in Nederland die recht van klagen had was Geert Wilders;
kon geen domein registreren omdat hij niet zijn privé adres gebruikte maar het adres van de Tweede Kamer.
Maar regels zijn regels. En dus moest de whois verdwijnen.

Tot 10 jaar geleden, kon je deze gegevens gewoon zien.. Het gaf ook een vorm van veiligheid als je kon zien van wie een domein was. Door alle privacy gekkies kunnen we dit niet meer zien, daarmee is de wereld weer een stukje onveiliger geworden.
...want anonimiteit van een misbruiker opheffen is een demotiverende stap, en sowieso tijdrovend.
Maar wetten zijn wetten. En daarom is nu maar de NIS2 richtlijn opgetuigd. 'kHad ik liever gewoon een whois.
10-09-2024, 10:13 door Anoniem
Door Anoniem: Tot 10 jaar geleden, kon je deze gegevens gewoon zien.. Het gaf ook een vorm van veiligheid als je kon zien van wie een domein was. Door alle privacy gekkies kunnen we dit niet meer zien, daarmee is de wereld weer een stukje onveiliger geworden.
Kan je nog steeds je moet alleen via een digitaal formuliertje beloven dat je de gegevens enkel gebruikt voor wat ze bedoeld zijn. Iets verder kijken dan eerst maar verder veranderde echt zeer weinig. We hebben dat proces geautomatiseerd met scripting die de form automatisch invult aan hand van een veld invoer op eigen dashboard.

We hebben regelmatig naieve klanten die weer eens een domein hadden kuch gekocht tegen exorbitante prijs en vervolgens het domein niet krijgen onder hun beheer als ze door hebben opgelicht te zijn en weg willen. Dan om een World Intellectual Property Organization Uniform Domain Name Dispute Resolution (WIPO UDRP) procedure te voorkomen wat maanden of jaren kost, vragen we de volle gegevens op.

De klant stuurt intussen hun geldig KVK uitreksel in en paspoort kopie beveiligd via eenmalige inzage link en vervolgens is SIDN aan zet. Deze beoordeelt vaak binnen 72 uur dat het domein wel of niet onder ons beheer moet komen waarna we de houder en administratieve informatie updaten naar op klant zijn haar naam voor kleine rekening van SIDN en ons uur tarief.

Dus nee er is niks onveiliger geworden de domein spam is simpel weg afgenomen.
10-09-2024, 10:41 door Anoniem
Door _R0N_:
Door Anoniem: Maar het kwaad is al geschied. Want als deze info publiekelijk beschikbaar is geweest dan hebben scrapers het al opgepakt. Ik zal dus een hoop spam kunnen verwachten op zowel het e-mailadres als het fysieke adres. Best wel belachelijk dat het überhaupt nodig is om een echt fysiek op te moeten geven voor de Whois.

Best wel belachelijk dat het niet zichtbaar is in de whois, door het te verbergen maak je het kwaadwillenden een stuk makkelijker een malafide website op te zetten.
Voor alle online winkels die wel gewoon betrouwbaar zijn moeten contact gegevens, ja ook fysiek adres, gewoon op de website staan.
Dat is zakelijk. Dit is particulier.
10-09-2024, 11:48 door Anoniem
Op zich weten ze exact van wie de data gelekt is toch? Neem aan dat ze die daarover informeren?
10-09-2024, 11:56 door Anoniem
Dat de whois gegevens kloppen is maar de gok...

Bij toeval zag ik dit gisteren ochtend. Melding gedaan bij SIDN. Redelijk vlot lag de whois tool even plat. Rond 13 uur / half 2 was het gefixt.

Bij aantal domeinen lookup gedaan en 2 vrienden lookup gedaan. Om te checken als het niet een eenmalig iets was.

Zijn tijdje terug verhuist (2+ jaar terug al). De gegevens zouden actueel moeten zijn (voorwaarde SIDN), dat mensen het ook bijhouden is een 2de.

Dus van 2 gelekte / opgevraagde gegevens klopt het adres al niet.
10-09-2024, 12:15 door Anoniem
Door Anoniem: Dus whois werkte naar behoren via de command-line en via RDAP, en ook via de oude webservers, maar het ging mis via de nieuwe webservers. Dan zat de fout niet in de onderliggende database, want als dat zo was waren alle vormen van toegang fout gegaan. De fout zat dus in de nieuwe webservers, met neem ik aan een nieuwe webapplicatie om whois uit te vragen (want als er niets verandert hoef je niets te veranderen).

Mensen (bij SIDN), dan heb je toch voordat je live gaat een goed doordachte verzameling tests op de nieuwe webapplicatie losgelaten om te zien of alles naar behoren functioneert? Dit komt over alsof jullie een grote wijziging ongetest of zwaar onvoldoende getest in productie hebben genomen.

Hoe kon dit gebeuren? Is misschien niet alleen het ontwikkelen maar ook het testen uitbesteed aan een externe partij? Als dat zo is: fout! Je moet zelf nagaan of het doet wat je zelf vindt dat het moet doen. Er zitten grenzen aan wat je over de muur kan gooien.
DevOps is live gaan en dan zien waar het schip strandt.
10-09-2024, 15:19 door karma4
Door Anoniem: Tot 10 jaar geleden, kon je deze gegevens gewoon zien.. Het gaf ook een vorm van veiligheid als je kon zien van wie een domein was. Door alle privacy fanatici kunnen we dit niet meer zien, daarmee is de wereld weer een stukje onveiliger geworden.

Als je de eigenaar kon zien dan was het een vorm van controle op de juiste persoon.
Het makkelijk kunnen frauderen en oplichten staat bij dit soort fanatici hoog in het vaandel.
Het verdient makkelijk met wijzen naar de slachtoffers dat die alles moeten herkennen
10-09-2024, 21:30 door Anoniem
SIDN geeft bij ieder nietszeggend briefje van een 'advocaat' sowieso linea recta de betreffende persoonsgegevens.
Dit zonder enig wederhoor. Zoveelste organisatie die privacy ondergeschikt vindt, dat daar dan vaker dingen misgaan, mij verbaast het niet.
11-09-2024, 07:07 door Anoniem
Door Anoniem: Tot 10 jaar geleden, kon je deze gegevens gewoon zien.. Het gaf ook een vorm van veiligheid als je kon zien van wie een domein was. Door alle privacy gekkies kunnen we dit niet meer zien, daarmee is de wereld weer een stukje onveiliger geworden.
Er zitten twee kanten aan. Van een bonafide bezoeker die door een malafide website benadeeld is zou je inderdaad willen dat die gewoon kan zie met wie die eigenlijk te maken heeft. Maar er zijn ook malafide bezoekers van bonafide websites, en die kunnen een hoop ellende veroorzaken, zeker als het adres van de website-eigenaar een thuisadres is.

De reden dat we adressen niet meer kunnen zien is dat er daadwerkelijk steeds meer problemen kwamen met opdringerigheid en agressie. Het is niet zomaar gedaan, het is een reactie op iets. Je bent geen gekkie als je je daar iets van aantrekt en er voortaan rekening mee houdt, je bent juist een gekkie als je je kop in het zand steekt en net doet alsof het probleem niet bestaat.

Dat het ook nadelen heeft is duidelijk: je bent nu als je een probleem hebt afhankelijk van iemand die wel bij die adressen kan en dan zit je dus sneller via een jurist te werken.

Je kan een hoop ellende op dat vlak voorkomen door voor je ergens iets koopt na te gaan of er adresgegevens op de website staan, of die kloppen met de KvK-inschrijving, door op streetview te kijken naar dat adres, door te checken of de website als malafide bekendstaat bij de politie, door ervaringen van anderen ermee op te zoeken, door je huiswerk te doen dus. En zoek niet voortdurend andere adresjes op als je dat allemaal teveel gedoe vindt maar geef dan de voorkeur aan websites waar je al goede ervaringen mee hebt opgedaan. Je kan de meeste ellende voor zijn zodat je er niet achteraf werk van moet maken.
11-09-2024, 13:54 door Anoniem
Door Anoniem: DevOps is live gaan en dan zien waar het schip strandt.
Niet overal, en er bestaat ook nog zoiets als een acceptatietest waarin de opdrachtgever zelf nagaat of het systeem werkt zoals de bedoeling is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.