Nieuws
image

SIDN: opgeheven domeinnamen concreet risico voor veiligheid organisaties

maandag 15 juni 2026, 11:04 door Redactie, 7 reacties

Opgeheven domeinnamen vormen een concreet risico voor de veiligheid en reputatie van organisaties, zo waarschuwt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, naar aanleiding van een recent datalek. Volgens SIDN is het uitfaseren van domeinnamen in veel organisaties geen expliciet aandachtspunt voor het securityteam. Onlangs werd bekend dat verlopen domeinnamen van bewindvoerders voor een datalek zorgden.

Een onderzoeker ontdekte in de gelekte data van telecombedrijf Odido dat veel mensen het e-mailadres van hun bewindvoerder hadden gebruikt. Volgens RTL Nieuws zijn veel bewindvoerders de afgelopen jaren gefuseerd of overgenomen door andere organisaties. Domeinnamen zijn vervolgens opgezegd of verlopen. Door vervolgens deze domeinnamen weer te registreren was het mogelijk om allerlei gevoelige gegevens van clienten te ontvangen. De onderzoeker kreeg zo toegang tot 258 financiële dossiers.

"De technische drempel voor dit type incident is laag. Het opnieuw registreren van een opgeheven domeinnaam is een regulier proces en kost weinig. Technische kennis is niet vereist. De impact ontstaat doordat systemen en, gebruikers bekende e-mailadressen blijven vertrouwen zonder aanvullende verificatie", stelt Michiel Henneke van SIDN. "Het gaat hierbij niet om een directe inbraak, maar om onvoldoende beheer van bestaande middelen."

Henneke merkt op dat de oorzaken vaak liggen in de organisatiesfeer. Daarnaast is het uitfaseren van domeinnamen in veel organisaties geen expliciet aandachtspunt voor het securityteam. "Vaak is zelfs niet bekend wie hiervoor verantwoordelijk is. Daardoor kunnen afhankelijkheden in e-mailverkeer en systemen buiten beeld blijven." Henneke waarschuwt ook voor de gevolgen. "Opgeheven domeinnamen vormen een concreet risico voor de veiligheid en reputatie van een organisatie. In dit geval ook met directe gevolgen voor de vertrouwelijkheid van gegevens."

Reacties (7)
Reageer met quote
Vandaag, 11:24 door Anoniem
Hoe lang kan je een domeinnaam vooruit reserveren en betalen? Ik kwam laatst tegen (was dat in commentaren op deze website?) dat dat uitsluitend per jaar gaat. Een oplossing die SIDN voor dit probleem zou kunnen bieden is dat als een domeinnaam wordt afgedankt dat je hem nog voor bijvoorbeeld vijf jaar kan reserveren, en meteen betalen, waarbij die nergens meer naar verwijst. Dan is het in één keer geregeld op een manier die niet door onoplettendheid onderuit gaat.

Ik kan het best snappen als SIDN geen zin heeft om dit op zich te nemen, maar toch denk ik dat SIDN er goed aan zou doen om als ze een probleem zoals dit constateren zich af te vragen of ze zelf niet de partij zijn die het best gepositioneerd is om er een oplossing voor op poten te zetten. Het stelt organisaties in staat het punt in één keer af te handelen.
Reageer met quote
Vandaag, 12:35 door Anoniem
Door Anoniem: Hoe lang kan je een domeinnaam vooruit reserveren en betalen? Ik kwam laatst tegen (was dat in commentaren op deze website?) dat dat uitsluitend per jaar gaat. Een oplossing die SIDN voor dit probleem zou kunnen bieden is dat als een domeinnaam wordt afgedankt dat je hem nog voor bijvoorbeeld vijf jaar kan reserveren, en meteen betalen, waarbij die nergens meer naar verwijst. Dan is het in één keer geregeld op een manier die niet door onoplettendheid onderuit gaat.

Ik kan het best snappen als SIDN geen zin heeft om dit op zich te nemen, maar toch denk ik dat SIDN er goed aan zou doen om als ze een probleem zoals dit constateren zich af te vragen of ze zelf niet de partij zijn die het best gepositioneerd is om er een oplossing voor op poten te zetten. Het stelt organisaties in staat het punt in één keer af te handelen.

Volgens mij wegen de kosten van een domeinregstratie niet op tegen het optuigen van dit soort dingen. Dat iemand zijn/haar domeinnaam laat opzeggen/verlopen zegt iets over diegene die dat doet, soms door druk, soms door gebrek aan kennis. je kan daar de SIDN niet verantwoordelijk voor stellen. het is netjes dat de SIDN de media opzoekt om te waarschuwen. Immers een domeinregistratie en een catch-all op de mail en je heb gedonder. Wat is nu 50 tientjes per jaar om de domeinnaam vast te houden ?
Reageer met quote
Vandaag, 13:51 door Anoniem
Ook het niet tijdig registreren van bepaalde domeinnamen bij bijvoorbeeld het ontstaan van een nieuwe gemeente brengt ernstige risico's met zich mee.
Reageer met quote
Vandaag, 15:15 door Briolet
Door Anoniem: Hoe lang kan je een domeinnaam vooruit reserveren en betalen? Ik kwam laatst tegen (was dat in commentaren op deze website?) dat dat uitsluitend per jaar gaat.

Het zou best kunnen dat het maximaal 1 jaar is. Maar vaak doe je dat met een automatische incasso, zodat een domein niet plots off-line gaat als er een betaling mist. (Heb dat al eens 2 jaar op rij meegemaakt bij een site waar de rekening steeds kwam als de beheerder met vakantie was)

Bij een doorlopende incasso gaat het na een fusie nog steeds mis als ook de oude rekeningen opgeheven worden en je verder geen actie onderneemt.
Reageer met quote
Vandaag, 17:06 door Anoniem
Door Anoniem: Ook het niet tijdig registreren van bepaalde domeinnamen bij bijvoorbeeld het ontstaan van een nieuwe gemeente brengt ernstige risico's met zich mee.

Heb je daar concrete voorbeelden van , of ben je blijven hangen in het registratie-race cowboy tijdperk van een paar decennia terug ?

Een (merken)-rechthebbende kan een domein naam gewoon terugpakken van een domeinkaper .
Reageer met quote
Vandaag, 17:08 door Anoniem
Door Briolet:
Door Anoniem: Hoe lang kan je een domeinnaam vooruit reserveren en betalen? Ik kwam laatst tegen (was dat in commentaren op deze website?) dat dat uitsluitend per jaar gaat.

Het zou best kunnen dat het maximaal 1 jaar is. Maar vaak doe je dat met een automatische incasso, zodat een domein niet plots off-line gaat als er een betaling mist. (Heb dat al eens 2 jaar op rij meegemaakt bij een site waar de rekening steeds kwam als de beheerder met vakantie was)

Bij een doorlopende incasso gaat het na een fusie nog steeds mis als ook de oude rekeningen opgeheven worden en je verder geen actie onderneemt.

Het zal m.i. een bewuste keuze zijn om de "oude" naam - en vooral de achterliggende web/mail services op een bepaald moment af te bouwen en op te zeggen.
Reageer met quote
Vandaag, 17:35 door Anoniem
Het zou handig zijn als je een pakket kunt kopen om de domeinnaam voor bijvoorbeeld 25 jaar in quarantaine te plaatsen, eenmalig af te rekenen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Vacature Digital Designer Certified Secure
Certified Secure GenAI Deep Dive Security Training