Een ethisch hacker registreerde verlopen domeinnamen van bewindvoerders en kreeg toegang tot 258 financiële dossiers. Geen geavanceerde aanval, gewoon een vergeten domein. De les voor elk bedrijf: jouw domeinnaam is een sleutel die je niet mag laten vallen.
Een ethisch hacker registreerde een handvol verlopen domeinnamen en kreeg daarmee toegang tot 258 financiële dossiers van mensen die onder bewind staan. Geen ingewikkelde aanval, geen gekraakte server. Gewoon domeinnamen die iemand had laten verlopen, en daarmee de e-mail die er nog naartoe ging. RTL Nieuws onthulde de zaak op 8 juni 2026. De les reikt verder dan de bewindvoering: jouw domeinnaam is een sleutel, en wie hem laat vallen, geeft hem aan een ander.
Wat er gebeurde
Onderzoeker Wesley Neelen stuitte op het probleem via een eerder datalek bij telecombedrijf Odido. Daarin zag hij e-mailadressen van bewindvoerders die op inmiddels verlopen domeinnamen draaiden. Veel bewindvoerderskantoren zijn de afgelopen jaren gefuseerd of overgenomen, waarna hun oude domeinnamen werden opgezegd. Neelen registreerde een aantal van die domeinen opnieuw, zette de mailboxen weer aan, en ving zo binnenkomende post op.
Wat er binnenkwam was niet niks: namen, adressen, telefoonnummers, bankrekeningnummers, belastingstukken, loonstroken, aanmaningen, incassobrieven en zelfs medische aanvragen. Allemaal van mensen in een kwetsbare positie, met schulden of onder bewind. "Technisch gezien is het heel makkelijk", aldus Neelen. Hij kon in enkele weken bij 258 dossiers en sloot de mailboxen daarna weer af.
Waarom dit iedereen aangaat
Een domeinnaam is niet alleen je website. Het is ook het adres waar al je e-mail naartoe gaat. Laat je een domein verlopen, dan kan een ander hem registreren en vanaf dat moment alles ontvangen wat er nog naartoe wordt gestuurd: facturen, wachtwoordresets, klantcommunicatie, contracten. Het overnemen van een verlopen domein kost een paar euro en vereist geen hackkennis. Dat maakt het zo verraderlijk.
Voor het MKB is dit een reëel risico op meerdere momenten: bij een rebranding, een overname, het opheffen van een oude webshop, of een merknaam die je ooit registreerde en liet vallen. Het oude domein verdwijnt niet, het wordt alleen van jou losgekoppeld. En zolang ergens nog systemen of mensen naar dat oude adres mailen, blijft er data weglekken.
Wat je nu kunt doen
Een paar concrete stappen:
- Houd een lijst bij van alle domeinnamen die je ooit hebt geregistreerd, ook de oude en de tijdelijk geparkeerde. Zet automatische verlenging aan voor alles wat nog ergens in gebruik is.
- Laat een domein niet zomaar verlopen bij een rebranding of overname. Houd het minstens nog een paar jaar aan en stuur de e-mail netjes door of laat hem bouncen, zodat niemand anders hem opvangt.
- Controleer welke externe diensten en partners nog naar oude adressen mailen voordat je een domein loslaat.
- Behandel je domein- en DNS-beheer als kritieke infrastructuur, niet als een administratief restje.
Dat laatste punt is precies waarom ik klanten aanraad om hun digitale fundament, dus domeinen, e-mail en data, bewust in eigen hand te houden. Dezelfde logica drijft het onderzoek van het Rijk naar Nextcloud als soevereine werkplek voor ambtenaren: je wilt niet dat de sleutels van je bedrijf bij toeval ergens rondslingeren. Hetzelfde principe kostte Yango 100 miljoen euro boete van de AP voor het opslaan van klantgegevens op servers in Rusland.
Wie er nu aan zet is
Branchevereniging Aegis laat weten haar leden te waarschuwen voor het risico van verlopen en opgezegde domeinnamen, en onderzoekt een protocol voor dit soort incidenten. Dat is goed, maar de onderliggende kwetsbaarheid is breder dan de bewindvoering. Elk bedrijf dat ooit een domein registreerde en weer losliet, kan dezelfde fout maken. De oplossing is saai maar effectief: weet welke domeinen je hebt, en laat ze niet stilletjes uit je handen glippen.
