Hoe een verlopen domeinnaam een datalek werd, en wat elk bedrijf eruit leert
Nieuws8 juni · 09:233 min leestijd

Hoe een verlopen domeinnaam een datalek werd, en wat elk bedrijf eruit leert

Een ethisch hacker registreerde verlopen domeinnamen van bewindvoerders en kreeg toegang tot 258 financiële dossiers. Geen geavanceerde aanval, gewoon een vergeten domein. De les voor elk bedrijf: jouw domeinnaam is een sleutel die je niet mag laten vallen.

Een ethisch hacker registreerde een handvol verlopen domeinnamen en kreeg daarmee toegang tot 258 financiële dossiers van mensen die onder bewind staan. Geen ingewikkelde aanval, geen gekraakte server. Gewoon domeinnamen die iemand had laten verlopen, en daarmee de e-mail die er nog naartoe ging. RTL Nieuws onthulde de zaak op 8 juni 2026. De les reikt verder dan de bewindvoering: jouw domeinnaam is een sleutel, en wie hem laat vallen, geeft hem aan een ander.

Wat er gebeurde

Onderzoeker Wesley Neelen stuitte op het probleem via een eerder datalek bij telecombedrijf Odido. Daarin zag hij e-mailadressen van bewindvoerders die op inmiddels verlopen domeinnamen draaiden. Veel bewindvoerderskantoren zijn de afgelopen jaren gefuseerd of overgenomen, waarna hun oude domeinnamen werden opgezegd. Neelen registreerde een aantal van die domeinen opnieuw, zette de mailboxen weer aan, en ving zo binnenkomende post op.

Wat er binnenkwam was niet niks: namen, adressen, telefoonnummers, bankrekeningnummers, belastingstukken, loonstroken, aanmaningen, incassobrieven en zelfs medische aanvragen. Allemaal van mensen in een kwetsbare positie, met schulden of onder bewind. "Technisch gezien is het heel makkelijk", aldus Neelen. Hij kon in enkele weken bij 258 dossiers en sloot de mailboxen daarna weer af.

Waarom dit iedereen aangaat

Een domeinnaam is niet alleen je website. Het is ook het adres waar al je e-mail naartoe gaat. Laat je een domein verlopen, dan kan een ander hem registreren en vanaf dat moment alles ontvangen wat er nog naartoe wordt gestuurd: facturen, wachtwoordresets, klantcommunicatie, contracten. Het overnemen van een verlopen domein kost een paar euro en vereist geen hackkennis. Dat maakt het zo verraderlijk.

Voor het MKB is dit een reëel risico op meerdere momenten: bij een rebranding, een overname, het opheffen van een oude webshop, of een merknaam die je ooit registreerde en liet vallen. Het oude domein verdwijnt niet, het wordt alleen van jou losgekoppeld. En zolang ergens nog systemen of mensen naar dat oude adres mailen, blijft er data weglekken.

Wat je nu kunt doen

Een paar concrete stappen:

  • Houd een lijst bij van alle domeinnamen die je ooit hebt geregistreerd, ook de oude en de tijdelijk geparkeerde. Zet automatische verlenging aan voor alles wat nog ergens in gebruik is.
  • Laat een domein niet zomaar verlopen bij een rebranding of overname. Houd het minstens nog een paar jaar aan en stuur de e-mail netjes door of laat hem bouncen, zodat niemand anders hem opvangt.
  • Controleer welke externe diensten en partners nog naar oude adressen mailen voordat je een domein loslaat.
  • Behandel je domein- en DNS-beheer als kritieke infrastructuur, niet als een administratief restje.

Dat laatste punt is precies waarom ik klanten aanraad om hun digitale fundament, dus domeinen, e-mail en data, bewust in eigen hand te houden. Dezelfde logica drijft het onderzoek van het Rijk naar Nextcloud als soevereine werkplek voor ambtenaren: je wilt niet dat de sleutels van je bedrijf bij toeval ergens rondslingeren. Hetzelfde principe kostte Yango 100 miljoen euro boete van de AP voor het opslaan van klantgegevens op servers in Rusland.

Wie er nu aan zet is

Branchevereniging Aegis laat weten haar leden te waarschuwen voor het risico van verlopen en opgezegde domeinnamen, en onderzoekt een protocol voor dit soort incidenten. Dat is goed, maar de onderliggende kwetsbaarheid is breder dan de bewindvoering. Elk bedrijf dat ooit een domein registreerde en weer losliet, kan dezelfde fout maken. De oplossing is saai maar effectief: weet welke domeinen je hebt, en laat ze niet stilletjes uit je handen glippen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Bij FLOH ontwerp en bouw ik complete software, integraties en AI op maat, van eerste idee tot werkend product, en jij blijft eigenaar. Hier schrijf ik nuchter over bouwen met AI en software voor ondernemers en organisaties.

Meer over mij

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Digitale soevereiniteit is risicobeheer, geen politiek
Inzicht
8 min

16 jun 13:31

Digitale soevereiniteit is risicobeheer, geen politiek

Soevereiniteit wordt gevoerd als een principekwestie over Amerika en Big Tech. Daardoor schuift de nuchtere ondernemer het weg. Onterecht: waar je data staat en van wie je software is, is gewoon een bedrijfsrisico.

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane
Nieuws
4

10 jul 12:11

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane

Het kabinet zet de uitrol van Microsoft 365 bij de Belastingdienst, Douane en Toeslagen stil na een vernietigend ICT-advies over vendor lock-in, en laat het eigen, on-premises scenario opnieuw uitwerken.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

Rijk scherpt cloudbeleid aan: strengere eisen voor publieke cloud bij de overheid
Nieuws
6 min

3 jul 22:09

Rijk scherpt cloudbeleid aan: strengere eisen voor publieke cloud bij de overheid

De ministerraad stelde op 3 juli het herziene rijksbrede cloudbeleid vast. Kritieke diensten mogen niet meer zomaar naar buitenlandse publieke cloud, met vier jaar de tijd en verplichte exitplannen.

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming
Nieuws
5 min

27 jun 08:22

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming

De Italiaanse mededingingsautoriteit onderzoekt of Microsoft abonnees misleidde door Copilot ongemerkt in Microsoft 365 te bundelen en ze standaard op een duurder plan te zetten. Wat betekent dat voor Nederlandse gebruikers en bedrijven?