Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Verkeerd gebruik domeinnaam leidt opnieuw tot datalek in jeugdhulpverlening

5 lessen die iedere organisatie uit deze zaak kan trekken

  • dinsdag 6 oktober 2020

Een systeemlek creëren door in onbruik geraakte domeinnamen niet goed op te ruimen. 3 jaar geleden gebeurde het de Politie, anderhalf jaar geleden berichtte RTL Nieuws al over een lek bij Bureau Jeugdzorg Utrecht en vorige week was Kenter Jeugdhulp in het nieuws, omdat gegevens van duizenden – vaak minderjarige – cliënten toegankelijk bleken via een domeinnaam die niet meer gebruikt werd. Fouten in het beheer van cruciale domeinnamen. Waarom blijft dit gebeuren en hoe voorkom je het?

Een domeinnaam: klein, maar belangrijk

Hoe ontstaan zulke fouten? Dat zit een beetje in de aard van de domeinnaam. Een domeinnaam heb je in een minuut geregistreerd en in een minuut weer opgeheven. Binnen organisaties wordt vaak vrij willekeurig bepaald wie de registratie doet en de domeinnaam wordt vaak gezien als een commodity. Maar dat is het niet. Hoe simpel het registreren van een domeinnaam ook mag zijn, de naam wordt vervolgens gebruikt in talloze mailadressen, websites en applicaties. Het plotseling afsluiten en afstoten van de domeinnaam stelt cybercriminelen in staat deze te bemachtigen en te gebruiken om toegang tot deze applicaties te krijgen.

Voorbeeld: misbruik via wachtwoordreset

Een versimpeld voorbeeld van hoe cybercriminelen hier misbruik van maken is de wachtwoordreset. Stel een organisatie verandert van naam en heft de oude domeinnaam op. Bekend is dat medewerkers toegang hebben tot een systeem dat beveiligd is met een wachtwoord. De cybercrimineel kan dan eenvoudig de door de organisatie opgeheven domeinnaam registreren, een mailadres van een bekende medewerker aanmaken en op het systeem een wachtwoordreset aanvragen. Als het oude mailadres nog bekend is bij het systeem, ontvangt hij de resetlink per mail en is hij binnen. Het recente lek bij Kenter lijkt op deze manier ontstaan te zijn: medewerkers van RTL Nieuws konden met mailadressen op de oude naam (medewerker@jeugdriagg.nl) wachtwoorden en andere inloggegevens opvragen.

5 lessen voor organisaties

Goed beheer van domeinnamen is geen rocket science. Cybersecurity vaak ook niet. Uit de case van Kenter jeugdhulp kunnen de volgende lessen getrokken worden:

1. Hef een domeinnaam niet meteen op als je naar een nieuwe overstapt

Parkeren van een ongebruikte domeinnaam is goedkoop en zolang jij de domeinnaam hebt, kan niemand anders er iets mee doen. Na verloop van tijd verdwijnen de oude mailadressen en referenties vanzelf uit de meeste betrokken systemen, maar dit kan wel enkele jaren duren. Je kunt zelf monitoren of er nog verkeer op de domeinnaam zit en wanneer dit tot nul terug gebracht is.

2. Leg vast welke domeinnamen je hebt en waarvoor je deze gebruikt

Het gebruik van een domeinnaam kan wijdverbreid zijn: adresboeken, e-mailadressen met het domein als login, geautomatiseerde mail naar het domein, etc. Als je weet waar je domeinnaam wordt gebruikt weet je ook op welke plaatsen je een naamswijziging moet doorvoeren en waar je actief moet monitoren. Zorg er ook voor dat je het totaaloverzicht hebt: sommige organisaties hebben duizenden domeinnamen geregistreerd door misschien wel honderden verschillende medewerkers. Ben je het overzicht kwijt? Met de Domeinportfoliochecker kun je in ieder geval weer grip krijgen op je .nl-portfolio.

3. Informeer medewerkers

Maak duidelijk dat vanaf een bepaalde datum mailadressen van het oude domein niet langer geldig zijn en dat ze mails vanaf die adressen dus moeten negeren en hun e-mailcache leeg moeten maken. Dit creëert bewustzijn en beschermt tegen social engineering.

4. Monitor malafide registraties en inlogpogingen

Cybercriminelen kunnen je naam alleen misbruiken als ze de bijbehorende domeinnaam of een naam die erop lijkt (typo) registreren en daarmee proberen zich toegang te verschaffen tot systemen. Tools als SIDN Merkbewaking stellen je in staat te zien wanneer iemand dit doet, waar ook ter wereld. Als je inlogpogingen monitort, zie je bovendien al snel dat iemand met een malafide of verouderd mailadres probeert binnen te komen.

5. Gebruik multifactor-authenticatie

De Kenter-case had waarschijnlijk niet tot een datalek geleid als naast het wachtwoord nog een 2e inlogfactor vereist was geweest. Dan hadden de journalisten naast de inloggegevens ook een telefoon van de betrokken medewerkers moeten hebben.

Bovenstaande lessen kunnen getrokken worden naar aanleiding van – weer - een heel kwalijke zaak, waarbij zeer gevoelige persoonlijke informatie toegankelijk werd voor derden. Gezien de oorzaak was deze situatie voorkomen niet moeilijk geweest. Laten wij hopen dat het de laatste keer was.