+31 (0)20 2060700info@devos.nl
Subdomain finders: een zegen?

Subdomain finders: een zegen?

Domeinnamen zoals bijvoorbeeld techzine.nl verwijzen doorgaans naar een IP-adres, vergelijkbaar met een persoon dat in een telefoonboek is gekoppeld aan een telefoonnummer. Omdat IP-adressen bestaan uit nummers en lastig te onthouden zijn, heeft men de domeinnamen geïntroduceerd. Het domeinnaamsysteem (DNS) vertaalt het IP-adres naar een domeinnaam. Ook bestaan er subdomeinen, wat het gedeelte is van het adres dat voor de domeinnaam kan staan. Bijvoorbeeld: info.techzine.nl. Het voordeel van een subdomein is bijvoorbeeld dat een bedrijf als Techzine haar medewerkers een eigen website kan geven.

Vanuit SEO perspectief is het handig omdat een bedrijf een subdomein kan laten verwijzen naar haar domeinnaam zelf, en als zij een belangrijke zoekterm gebruikt voor haar subdomein dan kan zij haar vindbaarheid vergroten (aangezien zoekmachines subdomeinen als aparte websites zien). Voor zover niets nieuws, althans niet voor de gemiddelde lezer van Techzine.nl.

Sommige grote bedrijven (zoals multinationals) registreren vele honderden dan wel duizenden subdomeinen, en tijdens het registratieproces laten zij daarbij aardig wat informatie achter. Veel van die subdomeinen worden uiteindelijk niet of nauwelijks meer gebruikt, en zijn in feite inactief. Indien een subdomein zelf niet meer in gebruik is en/of binnenkort verloopt maar het DNS-record daarnaar nog steeds verwijst, kan een hacker het subdomein mogelijk opnieuw registreren en daarvan vervolgens misbruik maken. Bij het bezitten van veel subdomeinen is de kans op misbruik groter. In november 2020 is het subdomein ‘vote.joebiden.com’ gekaapt door een Turkse hacker, die op dat subdomein dreigende teksten had geplaatst (zie bijv. https://www.securityweek.com/subdomain-official-joe-biden-campaign-website-defaced-turkish-hackerde). Het kan ook worden gebruikt voor ‘phishing’ doeleinden, doordat bezoekers van het gekaapte subdomein zonder dat ze het in de gaten hebben worden doorgeleid naar een phishing website. Het registreren van (veel) subdomeinen kan dus mogelijk cybercrime in de hand werken.

Op internet zijn diverse ‘subdomain finders’ te vinden, welke sites fungeren als een soort zoekmachine waarbij je kan zoeken welke subdomeinnamen zijn geregistreerd en door wie. Deze subdomain finders kunnen cybercriminelen een handje helpen bij het zoeken naar potentieel ‘hackgevoelige’ subdomeinen, al dan niet bewust of onbewust. Hoe zit het ‘juridisch’ met die subdomain finders?

Subdomain finders: voorkomen of juist bevorderen van cybercrime?

Via een subdomain finder kan je redelijk gemakkelijk zoeken welke subdomeinen een bedrijf allemaal heeft geregistreerd. Ter illustratie: via Spyse.com kom je te weten dat Apple 13000+ subdomeinen heeft. Deze service wordt soms (enkel) tegen betaling aangeboden, en eventueel inclusief aanvullende informatie (zoals IP adres en in sommige gevallen ook e-mail adres(sen) behorende bij het specifieke subdomein). Vaak kan je simpelweg hele lijsten van door een bedrijf geregistreerde subdomeinen opvragen en downloaden.

Dergelijke subdomain finders kunnen een nuttige ‘tool’ zijn voor een bedrijf om haar cyberbeveiliging (meer) op orde te krijgen. Immers, bedrijven zoals Apple kunnen hiermee inzichtelijk krijgen welke subdomeinen allemaal zijn geregistreerd en welke mogelijk moeten worden opgeschoond. Hierdoor kan bijv. phishing worden voorkomen. Echter, het werkt cybercrime ook in de hand. Het op een ‘presenteerblaadje’ geven van al die data over subdomeinen kan het hackers gemakkelijk(er) maken om ‘zwakke’ subdomeinen op te sporen, en die te gaan kapen of anderszins te misbruiken voor cybercrime doeleinden.

Aanbieden zoekmachine voor subdomeinen legitiem?

Men kan betogen dat het aanbieden van een zoekmachine voor subdomeinen in principe zou moeten mogen. Het betreft immers (deels) openbare data die wordt ‘gescand’ en vervolgens hapklaar wordt aangeboden. Het is niets anders dan open source data beschikbaar stellen. Bovendien kan het een nuttig instrument zijn voor bedrijven (met veel subdomeinen) om zwakke plekken in de beveiliging te vinden.

Onder omstandigheden zou het exploiteren van een dergelijke zoekmachine voor subdomeinen echter onrechtmatig kunnen zijn tegenover de houders van die subdomeinen. Denk bijvoorbeeld aan de situatie dat een dergelijke zoekmachine zich vooral bezig houdt met het tegen betaling leveren van ‘lijsten’ van inactieve subdomeinen (incl. bijbehorende certificaten en emailadressen) aan partijen waarvan de identiteit onbekend is, terwijl men bovendien weet dat (inactieve) subdomeinen veelal worden gebruikt voor cybercrime activiteiten zoals phishing. Dat zou in feite neerkomen op een soort van ‘gevaarzetting’ (het ‘bevorderen’ van cybercrime), terwijl men van juist van internet dienstverleners kan verwachten dat zij cybersecurity in een hoog vaandel hebben staan. Een dergelijke handel in subdomeinen zou denk ik onder omstandigheden een schending kunnen opleveren van de zorgplicht die een internet dienstverlener heeft, en – in juridisch jargon – leiden tot strijd met hetgeen volgens het ongeschreven recht in het maatschappelijk verkeer betaamt. Dat zou dan vervolgens weer kunnen worden aangemerkt als een onrechtmatige daad (6:162 BW) richting het bedrijf dat eigenaar is van de subdomeinen. Indien de ‘verhandelde’ subdomeinen (ook) bestaan uit de merken van dat bedrijf, bijv. support.apple.com, kan het mogelijk ook worden gekwalificeerd als een merkinbreuk (tenzij de subdomain finder kan betogen een geldige reden te hebben om de merken op die manier te ‘gebruiken’).

Voorlopig oordeel

Zogenaamde ‘subdomain finders’ kunnen bedrijven helpen met het in kaart brengen van (al dan niet ‘slapende’ of verlopen) subdomeinen, zodat waar nodig de lijst kan worden opgeschoond ter voorkoming dat hackers er misbruik van gaan maken. Een mogelijk nuttige tool dus om cybersecurity op orde te brengen. Aan de andere kant kunnen dergelijke zoekmachines cybercrime wel ‘triggeren’ en - mede afhankelijk van hoe zij hun diensten in de markt zetten - mogelijk onrechtmatig handelen jegens de houders van de subdomeinen. Los van de discussie of het exploiteren van een subdomain finder (juridisch) door de beugel kan, is in ieder geval duidelijk dat bepaalde (veelal grote) bedrijven er goed aan doen hun lijst aan subdomeinen periodiek onder de loep te nemen! Niet alleen om zichzelf te beschermen, maar ook gelet op de beveiligingsmaatregelen die internetbedrijven mogelijk moeten treffen op grond van privacy- en cybersecurity regelgeving (zoals de wetten AVG en Wbni).

Dit artikel is geschreven door Jasper Hulsebosch (advocaat en partner bij De Vos & Partners Advocaten). 

Geschreven door

Jasper Hulsebosch

Partner

 
Maak een afspraak

Deel dit bericht



Laatste nieuws

14-05-2021 - door

Nicola Ebbink beëdigd!

Op 12 mei 2021 is onze collega Nicola Ebbink beëdigd. Margri... Lees meer

14-05-2021 - door

Formule voor huurkorting vanwege corona.

## **Formule voor “huurkorting” bij huur bedrijfsruimte – bi... Lees meer

Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Website by Omelette Du Fromage