De Stichting Internet Domeinregistratie Nederland (SIDN) heeft de bijna 2000 domeinnaamhouders geïnformeerd die zijn getroffen door een datalek op 9 september. Door een fout tijdens onderhoudswerkzaamheden aan de website van SIDN waren hun persoonlijke gegevens tijdelijk zichtbaar via de Whois-zoekfunctie.

Het gaat om de naam, adresgegevens, e-mailadres en telefoonnummer van 1.918 particuliere domeinnaamhouders. De fout ontstond tijdens het vervangen van webservers, waarbij nieuwe verbindingen werden gelegd. Hierbij kregen de nieuwe machines onbedoeld meer toegang dan toegestaan.

Alleen fout in webversie Whois

Normaal gesproken zijn deze gevoelige gegevens alleen inzichtelijk voor de beherende registrar en SIDN zelf. De zakelijke gegevens van domeinnaamhouders zijn wel openbaar, maar gegevens van particulieren mogen niet zomaar openbaar komen.

SIDN benadrukt dat de fout uitsluitend optrad in de webversie van de Whois-zoekfunctie op sidn.nl. Andere informatiesystemen, zoals de WhoIS/IS via command line en RDAP, functioneerden naar behoren en speelden geen rol in het incident.

Melding bij Autoriteit Persoonsgegevens

Na ontdekking van het datalek heeft SIDN naar eigen zeggen direct stappen ondernomen om het probleem op te lossen en de fout in de verbindingen te herstellen. SIDN is een onderzoek gestart naar de exacte impact van het datalek en heeft inmiddels melding gemaakt bij de Autoriteit Persoonsgegevens, zoals de wet voorschrijft.

De getroffen domeinnaamhouders en hun administratieve en technische contactpersonen hebben vandaag een e-mail van SIDN ontvangen waarin ze meer informatie kregen over het incident. In de e-mail stond welke maatregelen SIDN heeft genomen en welke stappen nog volgen om soortgelijke fouten in de toekomst te voorkomen.

SIDN is als .nl-registry verantwoordelijk voor het beheer van alle geregistreerde domeinnamen onder dit top-level-domain (TLD). De stichting meldde eerder dat het te weinig personeel heeft om het serverpark te onderhouden waarop het .nl-registratiesysteem momenteel draait. Daarom werkt het samen met zijn Canadese evenknie aan een alternatief voor het huidige, verouderde domeinnaamregistratiesysteem DRS5.

