SIDN lekt per ongeluk gegevens domeinnaamhouders uit via Whois-zoekmachine

De Stichting Internet Domeinregistratie Nederland heeft maandagochtend per ongeluk de gegevens van particuliere domeinnaamhouders inzichtelijk gemaakt via zijn Whois-zoekmachine op sidn.nl. De gegevens zijn inmiddels niet meer zichtbaar.

SIDN schrijft in een verklaring dat het lek werd veroorzaakt tijdens onderhoudswerkzaamheden aan de website. "Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar", aldus de stichting.

Door de fout waren de namen, adresgegevens, e-mailadressen en telefoonnummers van domeinhouders en de administratieve en technische contactpersonen tijdelijk zichtbaar. De gegevens werden weergegeven wanneer gebruikers de domeinnaam in kwestie opzochten via de Whois-functie op sidn.nl. De overige informatiesystemen, zoals WHoIS/IS via command line en RDAP, werkten volgens de organisatie naar behoren.

Normaal gesproken zijn de gegevens van particuliere domeinhouders alleen zichtbaar voor de beherende registrar en SIDN. De gegevens van zakelijke domeinhouders zijn wel openbaar, terwijl die van particuliere domeinhouders dat niet mogen zijn. SIDN heeft het lek gemeld bij de Autoriteit Persoonsgegevens en onderzoekt wat voor gevolgen het lek heeft. Hoelang de gegevens precies openbaar waren, is niet bekend.

Door Loïs Franx

Redacteur

Feedback • 10-09-2024 16:22
86 • submitter: RobbyTown

10-09-2024 • 16:22

86

Submitter: RobbyTown

Lees meer

SIDN: aantal .nl-domeinen stabiliseert na acht maanden krimp
SIDN: aantal .nl-domeinen stabiliseert na acht maanden krimp Nieuws van 19 december 2024
SIDN haalt nepwebwinkels 'onmiddellijk' offline na melding politie
SIDN haalt nepwebwinkels 'onmiddellijk' offline na melding politie Nieuws van 26 november 2024
SIDN blijft voorlopig houders van verlopen .nl-domeinen waarschuwen
SIDN blijft voorlopig houders van verlopen .nl-domeinen waarschuwen Nieuws van 17 oktober 2024
AIVD onderzoekt risico's van verhuizing SIDN naar Amazon
AIVD onderzoekt risico's van verhuizing SIDN naar Amazon Nieuws van 22 juni 2024
SIDN: prijzen van IPv4-adressen dalen weer na opkoopgekte tijdens corona
SIDN: prijzen van IPv4-adressen dalen weer na opkoopgekte tijdens corona Nieuws van 29 april 2024
SIDN haalde eind 2023 8000 domeinnamen van malafide houder offline
SIDN haalde eind 2023 8000 domeinnamen van malafide houder offline Nieuws van 25 april 2024
Meer producten en artikelen
Internettoegang Datalek SIDN

Reacties (86)

-Moderatie-faq
86
85
37
1
0
40
Wijzig sortering
Robbierut4 10 september 2024 16:26
Raar dat deze gegevens uberhaupt aan het internet hangen, als ze toch niet publiek zijn.

Dit kan allemaal in een interne database toch?

Wat ik overigens mis is of het SIDN contact op gaat nemen met mensen waarvan de gegevens gelekt zijn.
Ik mag toch hopen dat ze een volledig en accuraat logboek hebben...
RobertMe @Robbierut410 september 2024 16:30
Raar dat deze gegevens uberhaupt aan het internet hangen, als ze toch niet publiek zijn.

Dit kan allemaal in een interne database toch?
Omdat deze gegevens wel inzichtelijk zijn voor de bijbehorende registrar, SIDN zelf, ...? En die registrar zal weer geen toegang hebben tot het interne netwerk van het SIDN.

En gezien de fout is opgetreden na het vervangen van servers zou ik ook bijna vermoeden dat het gerelateerd is aan IP whitelisting of zo waardoor de "website server" ineens meer toegang kreeg dan de bedoeling was.
rem4rk4ble @RobertMe10 september 2024 17:25
Vind de vraag dan nog steeds terecht.

Het klinkt als een authorisatie probleem en dat de registrars dus in dezelfde applicatie werken als iedereen maar dan met verhoogde rechten.

Maar als er geen authorisatie is voor deze gevoelige data, die anders wel benodigd is, waarom is het standaardgedrag dan om deze data toch te serveren?

Hoop dat SIDN nog terugkoppeld, al is het aan de gedupeerden, wat ze geleerd hebben en hoe ze dit en soortgelijke problemen in de toekomst kunnen voorkomen.

[Reactie gewijzigd door rem4rk4ble op 10 september 2024 17:26]

jurroen @rem4rk4ble11 september 2024 00:05
Het klinkt als een authorisatie probleem en dat de registrars dus in dezelfde applicatie werken als iedereen maar dan met verhoogde rechten.
Registrar hier. Ruwe gok dat het wel dezelfde database is (wat niet heel vreemd is met vele miljoenen records) - maar oom verschillende applicaties met verschillende permissieniveaus.

Er is de publieke whois. Daarin staat een (gedeeltelijke) set van de gegevens te vinden. Dat is vrijwel niets.

Dan is er DRS - de backend die door registrars gebruikt wordt. Tijdens het registeren van een domeinaam dienen houdergegevens ingevuld te worden. Een beetje registrar doet dit automatisch met API's.

Authoriteiten kunnen die gegevens ook raadplegen. Zelfde concept als de publieke whois maar dan met de volledige registratie gegevens.

Dat mag officieel niet meer onder een proxy registratie. Een klantdomein mag niet meer op naam van de registrar gezet worden.

Dat vind ik persoonlijk een wat lastige en een "double edged sword". Het wél doen is goed voor de privacy, mocht de klant daarvoor kiezen. Het nadeel is dat de klant niet meer de "houder" is. Dus als er onenigheid met de registrar is, heb je geen poot om op te staan.

Bij de .nl zone heeft SIDN dit heel goed op orde - en kun je als rechtmatig houder een domeinnaam ook altijd verhuizen. Een registrar dient daaraan mee te werken 'ongeacht wat".

Persoonlijk vind ik dat geweldig. En privacy... Als je als particulier een .nl domein registreert zou daar alleen publiekelijk een mailadres zichtbaar moeten zijn. Gebruik een alias of een mailbox van een privacy-respecterende partij en je bent er ook.
latka @rem4rk4ble10 september 2024 20:16
Ik vermoed legacy... Tot een jaar of 10 terug was het heel gebruikelijk om via de whois info die gegevens te krijgen.
EfBe @latka11 september 2024 08:18
Legacy? we hebben het hier niet over 1 miljard database rows in 1000 tables. Het datamodel is klein, de hoeveelheid data past in een MS Access database. Het is eerder onwil en slordigheid dan 'verouderd'
latka @EfBe11 september 2024 08:36
Dat is als je denkt dat whois er alleen is voor een beetje achtergrond infomatie over een domein eigenaar, maar whois is veel meer dan jij ziet. Eerdere protocol aanpassingen zijn gesneuveld. Het is een beetje als dns protocol aanpassen.. dns op poort 53 is er ook nog wel even.
lenwar @rem4rk4ble10 september 2024 21:07
Omdat ze anders (een deel) van dezelfde data moeten opslaan/serveren?

Nou zouden ze in theorie twee applicaties kunnen maken die dezelfde dataset raadpleegt, maar dan zijn ze effectief twee dezelfde applicaties aan het serveren. De een leest 'alle data'. De ander leest 'een subset' van de data. Dat klinkt niet erg efficient.
Anoniem: 80910 @lenwar10 september 2024 22:09
Per rol doe je dat erg efficient
wooha @RobertMe10 september 2024 18:04
Dan lijkt het me eerder dat ze IP blacklisting gebruiken, of IP whitelisting niet onderhouden of daarmee te brede subnets gebruiken.

Als er servers worden toegevoegd met een nieuw (backend) IP adres, dan zouden die helemaal geen toegang moeten hebben. Je moet niet gegevens onderdrukken op basis van een IP adres, maar juist toestaan op basis van IP adres.

Als dat zo is, dan hoop ik dat ze de juiste oplossing gaan invoeren en niet ophouden na de quick fix.

Edit: Uiteraard kunnen ze ook gewoon verkeerde al bestaande credentials hebben gekozen, die meer toegang hebben dan bedoeld en niet voor die webservers bedoeld waren.

[Reactie gewijzigd door wooha op 10 september 2024 18:09]

jurroen @wooha11 september 2024 00:10
Dan lijkt het me eerder dat ze IP blacklisting gebruiken, of IP whitelisting niet onderhouden of daarmee te brede subnets gebruiken.
Ruwe gok - de fout zat m tijdens het pushen van de nieuwe versie in de tweede. DRS is afgeschermd met whitelisting allowlisting. Kijk maar, tenzij je een registrar bent kun je niet eens inloggen: DRS. Daarna is er nog een login met verplichte MFA.

Wat hier gebeurde is een datalek en lullig. Maar tegelijk, het is niet het einde van de wereld. En de personen voor wie veel op het spel staat, hebben hopelijk meer maatregelen genomen.
wooha @jurroen11 september 2024 02:29
Het lek zat op https://www.sidn.nl/whois volgens de SIDN verklaring. Ze noemen DRS daarin niet.

De DRS site doet zo te zien whitelisting van het IP adres van de client browser. Tegenwoordig doen ze daar dan inderdaad aan allowlisting ;-)

Maar volgens de verklaring werd er op https://www.sidn.nl/whois teveel informatie getoond, omdat de nieuwe servers meer toegang hadden. Dat is geen check op de browser die de informatie opvraagt, maar mogelijk een (IP of service) authenticatie tussen https://www.sidn.nl/whois en een achterliggend systeem.

Ze melden dat het om 1918 opgevraagde domeinnamen gaat. Gelukkig heeft het niet heel lang opengestaan.
dasiro @RobertMe10 september 2024 20:15
als Vlaming zonder eigen website ben ik totaal geen betrokken partij, maar als zelfs een organisatie als SIDN haar security en procedures niet op orde heeft, dan is het imho toch erg gesteld met hun interne werking.
Yggdrasil @Robbierut410 september 2024 16:31
Ze zijn wel opvraagbaar door mensen met verhoogde toegangsrechten, zoals Registrars.
Khrome @Robbierut410 september 2024 18:10
De gegevens die zichtbaar waren zagen uit als de gegevens die je via de interne WHOIS tool van een SIDN account kunt zien, voor domeinen die in die registrar account staan.

Flinke misser.
Bender @Robbierut410 september 2024 22:29
Nee, want registrars mogen die informatie raadplegen en wijzigen.
jurroen @Bender11 september 2024 00:12
Voor hun eigen klanten, ja. Je kunt geen informatie zien van klanten van een 'concurrerende' registrar.
Bender @jurroen11 september 2024 13:38
En dus kun je het niet enkel op een interne database hebben staant want het moet van buitenaf benaderd kunnen worden.
ZwolschBalletje @Robbierut410 september 2024 21:23
Raar dat deze gegevens uberhaupt aan het internet hangen, als ze toch niet publiek zijn.

Dit kan allemaal in een interne database toch?
Nou nee, want als iemand z'n domeinnaam verhuist, dan moet die nieuwe registratie inclusief gegevens van privé-personen, zowel bij de registrar/hosting partij als bij SIDN aangepast worden. En ja, dat kan wel door een briefje aan een postduif mee te geven richting het hoofdkantoor van SIDN, maar ideaal is dat niet.

Het lijkt me logischer dat SIDN één database beheert waarin registrars de boel zelf kunnen bijwerken, die tegelijk de bron is van de Whois informatie die SIDN openbaar moet maken.

[Reactie gewijzigd door ZwolschBalletje op 10 september 2024 21:25]

Robbierut4 @ZwolschBalletje10 september 2024 21:27
Ik snap best dat het praktischer is dat het 1 en dezelfde database is.

Echter zou je bij security by design het anders inrichten lijkt mij. Zeker omdat een registrar voor zover ik weet niet bij de hele database hoeft te kunnen. Dus gewoon 2 databases, 1 met api voor de registrars. en 1 met zo min mogelijk data die je aan de website koppelt.
Bender @Robbierut410 september 2024 22:30
Wie zegt dat dat nu niet zo is dan?
Want volgens mij is er niet meer informatie gelekt dan dat er anders voor registrars ook zichtbaar is voor het bekijken van de informatie van hun klanten.
RobbyTown 10 september 2024 16:44
Bij toeval zag ik dit gisteren ochtend bij SIDN. Kreeg ineens adressen terug bij een lookup. Melding gedaan bij SIDN. Redelijk vlot lag de whois tool even plat. Rond 13 uur / half 2 was het gefixt.

Dat de whois gegevens kloppen is maar de gok...

Bij aantal domeinen lookup gedaan en 2 vrienden lookup gedaan. Om te checken als het niet een eenmalig iets was (of alleen bij bedrijven open stond).

Nu weet ik waar de vrienden wonen. Die zijn een tijdje terug verhuist (2+ jaar terug al). De gegevens zouden actueel moeten zijn (voorwaarde SIDN), dat mensen het ook bijhouden is een 2de.

Dus van 2 gelekte / opgevraagde gegevens klopt het adres al niet.

Ik heb dus diverse lookups gedaan. Geen idee als ze logging bijhouden bij SIDN, ik zou dus een bericht moeten krijgen dat mijn gegevens gelekt zijn.
denan @RobbyTown10 september 2024 17:17
Ik heb dus diverse lookups gedaan. Geen idee als ze logging bijhouden bij SIDN, ik zou dus een bericht moeten krijgen dat mijn gegevens gelekt zijn.
Iedereen die getroffen is krijgt een persoonlijk bericht. Dus als je contactgegevens nog kloppen kun je een mail verwachten. Wel is het zo dat de website whois uit 2 delen bestaat, eerst een IS check om te zien of een domein bestaat, daarna een Whois nadat gebruikers doorklikken en aanvinken dat ze akkoord zijn met de voorwaarden. Alleen als er doorgeklikt is naar het Whois deel zijn gegevens getoond en krijgen domeinnaamhouders een e-mail.
kodak
@denan10 september 2024 18:19
Waaruit maak je dat op? Want het publieke bericht van SIDN gaat daar niet op in. En zo gebruikelijk is het helaas niet dat een organisatie getroffen personen inlicht dat onbevoegden toegang tot hun persoonlijke gegevens hebben.
denan @kodak10 september 2024 18:28
Waaruit maak je dat op? Want het publieke bericht van SIDN gaat daar niet op in. En zo gebruikelijk is het helaas niet dat een organisatie getroffen personen inlicht dat onbevoegden toegang tot hun persoonlijke gegevens hebben.
Omdat ik de communicatie en lijsten al gezien heb, morgen gaan alle e-mails er uit.
Robbierut4 @denan10 september 2024 21:29
Wel nieuwsgierig, als de communicatie en lijsten al klaar zijn, waarom wachten tot morgen ochtend met uitsturen?

En waarom in het persbericht niet benoemen dat er "binnenkort" contact wordt opgenomen met de getroffen domeinhouders?
Nystran @Robbierut411 september 2024 13:47
Wel nieuwsgierig, als de communicatie en lijsten al klaar zijn, waarom wachten tot morgen ochtend met uitsturen?
Uit eigen ervaring: meerdere interne partijen willen graag even de concepttekst doorlezen, of die juridisch, mediatechnisch, qua imago, toon, spelfouten etc. helemaal in orde is.

Mogelijk wordt er gelijktijdig nog extra onderzoek gedaan of er niet via andere wijze nóg meer personen, of nóg meer data gelekt is. Maar misschien is dit al duidelijk.

In dit geval beter om iets beter te checken, dan om er een dag later een tweede bericht achteraan te sturen met een correctie, want dat ziet er pas stom uit, en daar zit niemand op te wachten.
denan @Nystran11 september 2024 17:57
Klopt. Je krijgt maar één kans om te communiceren. Dus dat moet goed zijn.
RobbyTown @denan11 september 2024 17:25
De werkdag is min of meer om. Tot op heden nog geen mail ontvangen...
Zojuist ontvangen :).

[Reactie gewijzigd door RobbyTown op 11 september 2024 19:20]

denan @RobbyTown11 september 2024 17:56
Het gaat in batches (ivm spam bescherming). Als je me een DM stuurt met de domeinnaam die je getest hebt kan ik kijken of je op de lijst staat.
Anoniem: 718943 @denan10 september 2024 20:17
Doorklikken? Dat doet mijn `whois` niet :P

Ah, maar gaat ook enkel om de website... Nog nooit gebruikt.

[Reactie gewijzigd door Anoniem: 718943 op 10 september 2024 20:20]

GertMenkel @RobbyTown10 september 2024 22:18
Als het adres niet klopt, kan dat reden zijn voor SIDN om je domein af te nemen. Of men daar wat om geeft is natuurlijk een tweede vraag.

Logging doet SIDN voor zover ik weet wel, ze doen namelijk ook onderzoek naar dit soort onderwerpen. Ik hoop dat ze de moeite nemen om slachtoffers in te lichten.
jurroen @GertMenkel11 september 2024 00:16
Logging doet SIDN voor zover ik weet wel, ze doen namelijk ook onderzoek naar dit soort onderwerpen. Ik hoop dat ze de moeite nemen om slachtoffers in te lichten.
Dat doen ze. Zowel het logging als.het inlichten van de personen die hierdoor geraakt zijn. Worst-case, als jouw registratie klopt cq up-to-date is zou je een dezer dagen een mail moeten krijgen als het jou treft.
gooos @RobbyTown10 september 2024 22:27
Als ze weten hoe laat het lek ontstaan is en tot wanneer het heeft geduurd dan zou het wel heel tof zijn als ze ook weten welke domeinen er in die periode bekeken zijn... dan kunnen ze heel gericht de betrokken domeinhouders aanschrijven. Ben benieuwd of ze zo gedetaileerd loggen.

Wat betreft actueel houden van de gegevens, ja herkenbaar, ik heb het ook pas na ruim 1,5 jaar verhuisd te zijn bijgewerkt en eigenlijk ook alleen maar omdat ik op dat moment een aantal nieuwe domeinen aan het registreren was en daardoor de oude data zag.
Cyb 10 september 2024 17:47
Minder dan een jaar geleden verbood SIDN het gebruik van een proxy om je privacy te beschermen, en vervolgens laten ze nu op een belachelijke wijze je gegevens lekken. Ik wist dat het slechts een kwestie van tijd was voor dat dit bij SIDN zou gebeuren. Als ze de gegevens van anderen zo slecht hebben beveiligt, horen ze eigenlijk gewoon die maatregel van vorig jaar terug te draaien.
kodak
@Cyb10 september 2024 18:08
Een proxy is geen fout. Dat is bewust andere gegevens opgeven. Per ongeluk meer gegevens tonen dan afgesproken is wel een fout. Waar je uiteraard ontevreden over kan zijn, maar dat gaat net zo goed op een proxy nu je gegevens zou lekken.
Cyb @kodak10 september 2024 18:25
Ik zeg ook nergens dat een proxy een fout is. Diverse registrars bieden/boden whois privacy aan als een service, d.w.z. de registrar zelf functioneert dan als proxy. Waar niets mis mee is, anders dan dat SIDN het verbiedt.
Waar je uiteraard ontevreden over kan zijn, maar dat gaat net zo goed op een proxy nu je gegevens zou lekken.
Als de registrar als proxy zou zijn gebruikt, zouden de klantgegevens juist niet gelekt zijn, alleen de n.a.w. gegevens van de registrar zelf.
Uiteraard kan de registrar zelf ook lekken hebben, maar SIDN is als grote centrale database wel een extra ongewenste database van waaruit persoonlijke gegevens gelekt kunnen worden.

Het is gewoon belachelijk dat ze eisen dan je geen proxy gebruikt, en je vervolgens laten verplichten je gegevens bij een onveilige partij (SIDN) te bewaren.
kodak
@Cyb10 september 2024 19:05
Er waren vanaf het begin al verschillende zaken mis met andere gegevens tonen. De gegevens over de registrant horen niet voor niets te gaan over de registrant. Een koop- of huuradministratie gaat om tonen wie de eigenaar en directe verantwoordelijke is, niet om het tonen van andere gegevens en het verschuilen van die persoon. Daarbij is een registrar niet de eerste verantwoordelijke van het kopen/huren maar de verantwoordelijke voor het verkopen/verhuren. Nogal een verschil. En die proxies gingen niet enkel om registrars maar ook het gebruik van obscure buiten de EU gevestigde bedrijven die geen enkele duidelijke verantwoording afleggen of waar SIDN een contract mee heeft. Daar verscholen nogal wat criminelen zich achter om zo moeilijk mogelijk criminaliteit en criminelen te laten stoppen en daar leuk aan te verdienen. Er was heel wat mis met dat alternatief.

Het punt over het lekken gaat om dat je een fout niet zomaar voorkomt met een oplossing waar je geen controle over hebt. Ik heb het bij proxydiensten ook fout zien gaan en vaak weten personen dat niet omdat bedrijven het niet nodig vinden hun klanten te informeren. Dus je kunt je dan wel blind gaan staren dat een proxy je in dit geval wat meer bescherming zou geven, maar beschermen gaat er ook om dat je oplossing niet zomaar bescherming geeft die je verwacht.
nst6ldr @kodak10 september 2024 20:46
Het alternatief is dat mensen geen .nl meer gaan registreren omdat ze niet iedere ochtend 15 kilo aan folders op de deurmat willen en hun telefoonnummer niet willen hoeven veranderen - waarvan akte.

Er is heel veel mis met het openbaar maken van persoonsgegevens, punt. Ik registreer daarom nooit meer iets bij SIDN.
RealChris92 10 september 2024 17:03
Volgens mij is SIDN ook verplicht te getroffen gebruikers te informeren als zij slachtoffer zijn van een degelijk lek. Ik vind dit lek ook zeer kwalijk, kwaadwillenden kunnen hiermee veel doen. Ik heb zojuist voor de zekerheid mijn oude gegevens maar weer klaargezet, vertrouw ze nu helemaal niet meer.
denan @RealChris9210 september 2024 17:19
Volgens mij is SIDN ook verplicht te getroffen gebruikers te informeren als zij slachtoffer zijn van een degelijk lek.
Alle personen die geraakt zijn krijgen morgen een e-mail. Het betreft alleen domeinnaamhouders waarvan op maandagochtend gegevens via de website whois opgevraagd zijn.
Anoniem: 718943 @denan10 september 2024 20:19
Enkel de website? Hoe vraagt de cli tool het op?

Ah whois protocol. Duh.

[Reactie gewijzigd door Anoniem: 718943 op 10 september 2024 20:20]

webgangster 10 september 2024 19:22
Ik lees dat een registrar de gegevens wel in kan zien, maar waarom mogen zij dat wel inzien? Mogen ze dat van elk domein inzien of alleen van de domeinnamen die zij geregistreerd hebben?
Spykie @webgangster10 september 2024 20:25
Registrars mogen de Whois van iedere domeinnaam bekijken.
denan @Spykie10 september 2024 21:19
Klopt, maar minus de houder gegevens. Die zien ze alleen voor domeinnamen die via hen in beheer zijn.

[Reactie gewijzigd door denan op 10 september 2024 21:20]

Fijnisdat 10 september 2024 16:42
Gelukkig zat t nog niet bij Amazon??
wildhagen
@Fijnisdat10 september 2024 16:45
Wat heeft Amazon hiermee te maken?

Er zijn weliswaar plannen (nog niet definitief geloof ik) om daar de infrastructuur van SIDN onder te brengen, maar dat hosten heeft niks met dit datalek te maken. Dit gaat om een lek in het inhoudelijke SIDN-systeem, de website (met bijbehorende database, back-end etc etc).

Het is niet alsof dat evt door Amazon, of de huidige hoster (geen idee wie dat is) wordt beheerd, dat is de taak (en dus de verantwoordelijkheid) van SIDN zelf, of het bedrijf aan wie ze dat beheer eventueel hebben uitbesteed.

De fout ligt hier dus niet bij de hoster (wie dat ook is), maar SIDN zelf (of de partij aan wie men het uitbesteeds heeft). Waar het draait, of dat nu True, Amazon, Azure etc is, is hiervoor helemaal niet relevant.
Fijnisdat @wildhagen10 september 2024 16:45
SIDN wil toch e.e.a. laten hosten bij Amazon? Alsof dat veiliger is.
BruT@LysT @Fijnisdat10 september 2024 16:58
Alsof dat per definitie niet veiliger is?
Anoniem: 584966 @Fijnisdat10 september 2024 17:03
SIDN wil naar AWS vanwege de kosten niet vanwege veiligheid.
Bender @Fijnisdat10 september 2024 23:02
Het maakt werkelijk niet uit waar de SIDN gehost is als het gaat om dit soort veiligheidsproblemen.
vrow 10 september 2024 16:57
Ze hebben waarschijnlijk gewoon een oude backup van de website teruggezet op de nieuwe servers :-)
Vroeger waren alle gegevens 'gewoon' openbaar en opvraagbaar.

Aan de ene kant fijn dat het nu wat afgeschermder is, maar aan de andere kant is het nu soms ook wel lastiger om te achterhalen wie er achter een website zit en werkt dit soms fraude in de hand.
CasEbb @vrow10 september 2024 17:04
'Vroeger' was 2010. Ik mag toch hopen dat je geen back-ups van 14 jaar geleden terug zet :P
jurroen @CasEbb11 september 2024 00:21
14 jaar aan backups. Damn, dat zou wel een serieuze en grote backup oplossing zijn. Om het nog maar niet te.hebben over de kosten daarvan.
GeroldM @CasEbb11 september 2024 04:18
Mijn mail archief gaat terug tot 2004. Heb het een jaar terug eens opgeschoond en is nu nog maar 34 GByte in omvang. En heb er sinds het begin backups van gemaakt.

Bewaar jij je data niet?

Heb volgens mij ook nog ergens de Winamp audio speler van 1998. Harddisks zijn mijn 'bag of holding'. ;)
Zwijntjesdrecht 10 september 2024 23:00
Tijd voor een boete vanuit AP zou ik zeggen. Leren ze het wel af.
Bender @Zwijntjesdrecht10 september 2024 23:02
Wat zouden ze dan af moeten leren?

Dit is door een fout gebeurt, een boete voorkomt niet dat er niet weer een menselijke fout plaats kan vinden.
Groningerkoek @Bender11 september 2024 09:05
Sommige dingen gebeuren echt per ongeluk en zonder enige kwade intentie. Echter moet je wel onderzoeken of er nalatigheid aan vooraf is gegaan. Is er voldoende getest? Waren/zijn er procedures om dit te voorkomen? Hoe gaan we dit in de toekomst voorkomen? etc..

Dat iets door een fout gebeurt ontslaat niet van verantwoording en aansprakelijkheid.
Bender @Groningerkoek11 september 2024 13:37
Absoluut.

Maar een boete naar een organisatie voorkomt niet dat er toch fouten gemaakt zal worden als er mensen werken.
Groningerkoek @Bender11 september 2024 15:37
Het zorgt er wel voor dat er een grotere intentie ontstaat om procedures te ontwikkelen en in te voeren om te zorgen dat er minder fouten voorkomen en dat voorkomende fouten minder schade veroorzaken.

In de industrie zijn dat soort dingen al vele jaren de normaalste zaak ter wereld en hebben boetes en regelgeving er mede voor gezorgd dat de werkomstandigheden nu vele malen beter zijn bijvoorbeeld 40 jaar geleden. De ICT zit wat mij betreft in eenzelfde soort proces maar i.p.v. gezondheid hebben we het dan over verantwoord omgaan met gegevens want daar kan nog heel veel verbetert worden, zowel qua regelgeving als hoe een gemiddeld bedrijf ermee omgaat.
BounceMeister 11 september 2024 07:29
Ik zie nu dat mijn prive e-mailadres zichtbaar is voor een domein van een stichting. Ik wist niet dat mijn privegegevens dan zichtbaar zijn.
Kan ik dit nog aanpassen?
RobbyTown @BounceMeister11 september 2024 07:59
Ik zie nu dat mijn prive e-mailadres zichtbaar is voor een domein van een stichting. Ik wist niet dat mijn privegegevens dan zichtbaar zijn.
e-mailadres is nooit verborgen geweest, naam en adres wel sinds 2010.
Kan ik dit nog aanpassen?
Ja. Je gegevens updaten waar je je domein hebt draaien.
brambo123 @BounceMeister11 september 2024 10:51
Privé email adressen worden wel verborgen, zakelijke (alles met KvK inschrijving) niet.
Domein zal dus zakelijk geregistreerd staan met privé email adres.
Dan kan het inderdaad handig zijn om even ander email adres door te geven.
RobbyTown @brambo12311 september 2024 20:22
Privé email adressen worden wel verborgen
Kun je vertellen hoe dat mogelijk is?

sidn.nl > doe een website van iemand
  • Administratief contactpersoon
  • Technisch contactpersoon
Staat in elk geval mijn prive email adres...
brambo123 @RobbyTown12 september 2024 19:07
My bad 😔
Meende dat email ook afgeschermd was.
ultimasnake 11 september 2024 10:15
Dus moet ik dit lezen als: SIDN heeft een enorme map aan .txt bestanden per domein met bepaalde user rechten? Want hun hele verklaring kan ik niet linken aan een database of webcode verhuizing (wat een kopie moet zijn lijkt me)….

Ben benieuwd of ik hier mail over krijg. Tot nu toe heb ik hier over het lek mogen lezen

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq