Mag je corp.com registreren als je weet dat dat een Windows-fout is?

| AE 11791 | Security | 4 reacties

Een lezer vroeg me:

Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland?

Het domein corp.com gaat inderdaad in de verkoop als ik het goed lees, al lijkt het vooral de bedoeling dat Microsoft het koopt voor een miljoen dollar. Dat zou dan zijn omdat inderdaad veel slecht geconfigureerde Windowsnetwerken verkeer naar dit domein sturen, inclusief authenticatiemiddelen zoals wachtwoorden.

De reden hierachter is dat Windows bij het maken van een intern netwerk standaard de suffix “.corp” voorstelt, wat lang niet iedereen aanpast. Interne diensten zoals gedeelde harde schijven kun je benaderen met iets als \klantdata\ in de Explorer. Echter, ga je vervolgens ergens werken waar je andermans DNS gebruikt, dan maakt Windows van die naam eerst “klantdata.corp” en vervolgens “klantdata.corp.com” omdat .corp niet bestaat bij die ander. En dan stuurt je systeem dus inderdaad logins en dergelijke naar die website.

Op zich gebeurt dit vaker. Bedrijven die een oude domeinnaam hebben overgenomen, of blijken te hebben geregistreerd, ontvangen regelmatig mails voor de oude eigenaar bijvoorbeeld. Dat is vervelend, maar in de praktijk gooi je die mail dan weg en dan is het klaar.

Hier voelt het iets anders, omdat de bedoeling van deze domeinnaam hebben nu duidelijk lijkt te zijn dat je die logins wilt hebben. Het is moeilijk daar een legitiem doel aan te koppelen. Natuurlijk is er vast een marketingblablaverhaal te verzinnen dat je corporate dienstverlening wilt verrichten en dat corp.com dan perfect aansluit bij je merkwaardebeleving, maar om eerlijk te zijn geloof ik daar dan geen bal van.

In Nederland is het strafbaar (art. 139d Strafrecht) om wachtwoorden of dergelijke authenticatiemiddelen te verwerven, in te voeren, beschikbaar te stellen of voorhanden te hebben. Althans, als je doel daarmee is om het misdrijf computervredebreuk, denial of service of aftappen van vertrouwelijke informatie te plegen. Een wetenschapper die wil onderzoeken hoe groot dit probleem is, kan dus prima monitoren wat hier gebeurt. Een security-onderzoeker die al die bedrijven wil waarschuwen handelt ook legaal. Maar voor het overige zie ik niet hoe je iets kunt doen met die informatie.

Arnoud

Amerikaanse keten dwingt Utrechtse sapjesbar naam te veranderen

| AE 11173 | Intellectuele rechten | 12 reacties

De Utrechtse zaak Smood Juicebar, die nu bijna 3 jaar gevestigd zit op de Vismarkt in de binnenstad, wordt gezien als bedreiging door een soortgelijk bedrijf in de Verenigde Staten. Dat meldde stadskrant DUIC onlangs. Na een juridisch gevecht van een half jaar heeft de sapjesbar eieren voor haar geld gekozen en wordt de naam nu verandert. Dat bevreemde een hoop lezers, want merkrechten zijn toch per land beperkt en hoezo kan een hipstercafé in New York (Dr Smood) dan in Utrecht rechten hebben?

Een merk is inderdaad per land beperkt, hoewel er bijvoorbeeld in Europa ook merken voor de hele gemeenschap ineens aangevraagd kunnen worden. Maar voorop staat dat je ergens je merk geregistreerd moet hebben (en daadwerkelijk gebruiken) om rechten uit te kunnen oefenen.

Dit speelt vaak bij internetzaken: bedrijf A in het ene land claimt een domeinnaam waar bedrijf B in een ander land haar merk in ziet, en dan worden er dure advocaten losgelaten die op hoge poten afgifte van dit Ernstig Inbreukmakende Eigendom eisen (een kenmerk van blafbrieven is Zelfbedachte Dreigende Afkortingen). Ongeacht hoe het merkenrechtelijk nu precies zit. Dat kan dus niet, tenzij bedrijf A door haar handelen daadwerkelijk in het land van B interfereert met het gedeponeerde merk. Vanuit Nederland kún je je op de VS richten en zo een merkrecht aldaar schenden, maar specifiek met een sapjesbar in Utrecht kan ik me dat moeilijk voorstellen.

Het geval wil echter dat Dr Smood een Europees merk heeft, en dan komt het natuurlijk anders te liggen. Dan gaat het dus niet over Amerikaanse claims tegen een Utrechtse bar, maar een Europees recht dat botst met een Nederlandse onderneming. Het merk is uit 2014 en de bar uit 2016, dus zo op het eerste gezicht heeft de merkhouder daar een punt. Ook als ze (nog) niet in Europa actief zijn – het merk zou dan 5 jaar na de toekenning (2016) vervallen, en daar zijn we nog niet.

Arnoud

Een domeinnaamhouder kan worden aangesproken op gedrag van de website-eigenaar

| AE 10942 | Intellectuele rechten | 42 reacties

Het is uitzonderlijk, maar het kan: als domeinnaamhouder aansprakelijk gesteld worden voor wat de gebruiker van je domeinnaam doet. Dat maak ik op uit een recent vonnis van de rechtbank Midden-Nederland. Zoals eigenlijk altijd in het recht is niets absoluut, ook niet de regel dat je als domeinnaamhouder geen bemoeienis en dus geen aansprakelijkheid hebt met wat de beheerder van de daaraan gekoppelde site vervolgens doet. Alles hangt af van de omstandigheden van het geval – een ergerlijke omschrijving, maar wel eentje waar we het mee moeten doen.

De eisers in deze zaak waren ondernemers, die op een website achter een specifieke domeinnaam ineens artikelen lazen waarin zij in verband werden gebracht met ernstige misdrijven, waaronder moord. In de artikelen stonden hun namen en adressen en hun onderneming en er werden foto’s van ze getoond. Als je zoiets gebeurt, dan is het logisch dat je allereerst kijkt op de site zelf – maar daar stonden geen duidelijke contactgegevens.

Contactgegevens vind je vaak wel bij de domeinnaam, omdat daar een openbaar register van is waar dat in staat. In dit geval ging het om een .nl domeinnaam, zodat men via het SIDN register uitkwam bij de gedaagde partij. Die verweerde zich met het argument dat hij niet aansprakelijk is, omdat hij de inhoud niet zelf had geplaatst en niet aansprakelijk gehouden kan worden voor wat zijn klanten (de domeinnaam-huurder in dit geval) doen met websites achter die domeinnaam.

Dat principe gaat inderdaad op als hoofdregel, maar zoals elke hoofdregel in het recht zijn daar uitzonderingen op. In dit geval is dat het feit dat je als hostingprovider (wat een DNS-aanbieder kennelijk is, de rechter oordeelt dat vrij makkelijk) gehouden bent een effectieve notice/takedown procedure te voeren. Bij klachten over inhoud als deze zul je als hoster op zijn minst verhaal bij je klant moeten gaan halen. De klacht naast je neerleggen en een video terugmailen met een sketch uit de serie “Little Britain” met het thema “computer says no” terugsturen lijkt me op geen enkele manier een redelijke NTD procedure te noemen.

Omdat de hoster geen effectieve NTD voerde, is hij aansprakelijk voor de schade als gevolg van de onrechtmatige publicatie vanaf het moment dat hij daarop werd gewezen. Zeker nu er geen werkelijke auteur in beeld is, is dat ook niet meer dan redelijk wat mij betreft. De domeinnaambeheerder moet nu zorgen dat de betreffende artikelen ontoegankelijk wordt (regel het maar met je klant, je hebt er een zootje van gemaakt, maar dan in juridische taal) en als dat niet gebeurt dan moet hij de gehele website offline halen (en dan schadeclaims over en weer over wanprestatie met zijn klant gaan oplossen, zijn probleem).

En mocht dat alles geen effect hebben, zelfs niet met dwangsommen, dan wordt het vonnis aangemerkt als een verzoek door de domeinnaamhouder om deze offline te halen. Daarmee kunnen de eisers dan terecht bij SIDN, die dat vervolgens uit zal voeren. (Dit is de Nederlandse vertaling van “een gerechtelijk bevel”.)

Arnoud

Liegen over een bijna ingepikte domeinnaam is dus echt bedrog

| AE 10729 | Intellectuele rechten | 26 reacties

Hij is al vaak langsgekomen, maar nu is het echt door de rechter bevestigd: mensen een domeinregistratiecontract aansmeren met als verkooptruc “iemand anders wil hem registreren” heet bedrog, en je kunt dat contract daarmee per direct van tafel krijgen. Dat blijkt uit een rechtszaak tussen het bedrijf Trademark Office (sowieso al een dubieuze naam gezien… Lees verder

Nederlands bedrijf aangeklaagd wegens domeinnaamfraude

| AE 10439 | Intellectuele rechten | 22 reacties

Het in Amsterdam en Heerhugowaard gevestigde Trademark Office wordt door een groep van ruim dertig ondernemers aangeklaagd wegens domeinnaamfraude. Dat meldde Nu.nl vorige week. Advocatenkantoor Berntsen Mulder, dat zich al een tijd vastbijt in deze praktijken, heeft namens die ondernemers een collectieve rechtszaak aangespannen om een claim wegens acquisitiefraude te verhalen. De beschreven truc is… Lees verder

Is het valsheid in geschrifte om andermans TTL aan te passen?

| AE 9960 | Informatiemaatschappij, Intellectuele rechten | 10 reacties

Sorry, beetje nerdtitel. Via Twitter de vraag: DNS TTL violations is a controversial topic. It basically means a resolver overrides a TTL value provided by an authoritative server, and then serving its clients with this value. In this post, we analyse if this is happening in the wild. … is ttl violation geen valsheid in… Lees verder

Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Intellectuele rechten, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer… Lees verder

Nee, een domeinnaam hoef je niet af te staan als je er niets mee doet

| AE 9519 | Intellectuele rechten | 17 reacties

Wie een nieuwe domeinnaam wil gaan gebruiken, kent de frustratie: die is al bezet. Vrijwel elke leuke Nederlandse term is al geclaimd, en in de meeste gevallen gebeurt er weinig meer mee dan een reclamepagina of een “Hier wordt een concept ontwikkeld, overname is bespreekbaar”-achtige tekst. Erg vervelend als je daar zelf al plannen voor… Lees verder

Is het een datalek om een domeinnaam te laten vervallen?

| AE 9491 | Intellectuele rechten | 29 reacties

Door het laten verlopen van een domeinnaam heeft Samsung miljoenen gebruikers risico laten lopen, zo laat de Portugese beveiligingsonderzoeker Joao Gouveia op Twitter weten. Dat las ik bij Security.nl. De domeinnaam hoort bij een door Samsung opgeheven dienst (S Suggest), die gebruikers populaire applicaties laat zien die gegarandeerd compatibel met hun apparaat zijn. De onderzoeker… Lees verder

Nee, een domeinnaam is geen maatwerk onder de Wet Koop op afstand

| AE 9310 | Intellectuele rechten | 30 reacties

Regelmatig zie ik bij domeinnaamverkopers en webhosters staan dat aangeschafte domeinnamen niet kunnen worden geannuleerd onder de Wet koop op afstand, omdat het om maatwerk zou gaan. Immers, je vult zelf in welke naam je wilt hebben. Maar een recent vonnis over maatwerkdomeinnamen laat zien dat dit écht niet klopt. Domeinnamen zijn diensten, en daarvoor… Lees verder