Les détails de l'enregistrement .com divulgués

J'ai récemment enregistré un nom de domaine .com auprès d'un bureau d'enregistrement bien connu. J'ai fait l'erreur d'ajouter mon numéro de téléphone au domaine.

Le nom de domaine est assez obscur et je l'ai enregistré pour une longue période (5 ans). Aucun site Web accessible au public n'est associé au nom de domaine et je contrôle les serveurs DNS (et les serveurs de messagerie).

Dans les 24 heures après l'enregistrement du nom de domaine, j'ai reçu 2 appels non sollicités de tiers essayant de me vendre des services de conception Web. Ils mentent / parlent des ordures lorsqu'on leur demande comment ils ont découvert cette information.

Ma question est la suivante: comment découvrent-ils l'enregistrement du nom de domaine? Y a-t-il une base de données publique / semi-publique qu'ils utilisent, mon bureau d'enregistrement vend-il ces informations ou autre chose? Les serveurs de noms racine .com créent-ils un enregistrement et vendent-ils les données des demandes qui leur sont adressées?

L' ICANN demande à chaque domaine d'avoir une entrée WHOIS , qui comprend, entre autres, le nom, l'adresse, l'adresse e-mail et le numéro de téléphone des personnes qui ont enregistré le domaine, les contacts administratifs et techniques. Bien qu'il soit contraire aux règles (section 3.3.5) de l'utiliser à des fins de marketing, cela se fait tout le temps. C'est en partie pour cette raison que de nombreux bureaux d'enregistrement de domaine offrent un service de "confidentialité" par lequel ils agissent comme un proxy de communication pour les contacts réels du domaine.

Il n'y a pas de base de données WHOIS centrale , donc je vais être honnête, je ne sais pas comment ils trouvent les domaines nouvellement créés *. Alors que les dossiers WHOIS ne contiennent des informations sur le moment où le domaine a été créé, dernière mise à jour, etc., je ne suis pas au courant d'une façon d'interroger une base de données WHOIS à partir de ces champs. Mais je ne suis pas non plus un spammeur ...

Selon le site Web de l'ICANN, le traitement des plaintes concernant l'abus de données WHOIS ne relève pas de leur autorité et ils vous suggèrent de rechercher d'autres méthodes pour résoudre le problème:

Les plaintes pour spam ne relèvent pas de la portée et de l'autorité de l'ICANN; pour ces types de réclamations, veuillez vous référer à l'une des options ci-dessous:

• Vous voudrez peut-être contacter un organisme d'application de la loi dans votre juridiction
• Vous voudrez peut-être déposer une plainte auprès d'une entité de protection des consommateurs telle que l'International Consumer Protection and Enforcement Network ou la Federal Trade Commission des États-Unis.
• Vous voudrez peut-être contacter le fournisseur de services Internet du spammeur
• Vous voudrez peut-être contacter le registraire du courriel du spammeur

Si c'est une consolation, j'ai enregistré ma juste part de domaines et mon expérience a été que les appels téléphoniques et les spams ont pris fin assez rapidement.

* J'ai effectué une recherche rapide sur Google et découvert un certain nombre de services offrant un accès en masse aux données WHOIS.

Chaque registre gTLD est mandaté par son contrat ICANN pour fournir ses fichiers de zone.

Les fichiers de zone répertorient tous les noms de domaine publiés, qui sont presque tous les noms de domaine dans le TLD, mais pas tous: cela exclut les noms de domaine sans serveurs de noms (un cas totalement légitime, vous pouvez parfois souhaiter protéger un nom sans l'associer à aucun service en ligne) , ou les noms de domaine sont "en attente" (les statuts EPP clientHoldou serverHoldqui retirent les noms de domaine de la publication).

Vous pouvez effectuer une recherche sur CZDA pour trouver la plate-forme en ligne qui permettra à quiconque, gratuitement, en acceptant un contrat, de pouvoir récupérer n'importe quel fichier de zone gTLD, qui est mis à jour quotidiennement.

Donc, c'est très facile de cette façon d'obtenir une liste de noms de domaine, si vous le faites 2 jours de suite, vous pouvez calculer la différence et trouver les noms de domaine nouvellement ajoutés (qui seraient essentiellement les noms de domaine nouvellement enregistrés, avec certains exceptions pour les raisons décrites ci-dessus), puis effectuez des requêtes whois pour récupérer les données de contact associées à ces domaines, puis contactez les personnes.

Notez que lorsque vous accédez au CZDA, vous signez un contrat qui applique certaines règles sur ce que vous pouvez ou ne pouvez pas faire avec les données. Je ne suis pas sûr que l'activité décrite ici tombe dans le cas acceptable du contrat, mais je ne suis pas avocat et c'est extrêmement difficile à respecter. Quoi qu'il en soit, c'est trivial techniquement.

Les ccTLD n'offrent le plus souvent pas accès à leurs fichiers de zone. Certains d'entre eux (comme .FR) fournissent simplement chaque jour la liste des noms de domaine nouvellement enregistrés. Ce qui vous ramène exactement à l'étape précédente lorsque vous avez calculé la différence de deux fichiers de zone, puis vous permet de contacter des personnes de la même manière.

De plus, et complètement sans rapport, si vous lisez attentivement le contrat des bureaux d'enregistrement de l'ICANN (donc encore une fois uniquement pour les gTLD), vous trouverez à l'intérieur d'une clause montrant que les bureaux d'enregistrement doivent vendre leur base de données complète de noms + données de contact dans certains cas spécifiques. Cela coûte cher (10 000 $ par bureau d'enregistrement!) Mais peut également être un moyen d'obtenir les données.

Un moyen de vous protéger contre toutes ces sollicitations consiste à enregistrer vos noms de domaine auprès des services de confidentialité / proxy afin que vos données personnelles n'apparaissent jamais dans la sortie whois. Ceci est proposé par de nombreux bureaux d'enregistrement et deviendra de plus en plus la norme, en raison de nouvelles réglementations sur la confidentialité des données pour les particuliers, comme le RGPD dans l'Union européenne.

Vous avez déjà reçu de nombreuses bonnes réponses, mais je pense que mon expérience indique que ces informations sont vendues à grande échelle à un niveau d'accès fondamental. J'ai enregistré 3 domaines il y a 6 mois et j'ai reçu environ 50 appels de télémarketing. 3 mois plus tard, j'ai déménagé et mis à jour mes informations ICANN - cela a immédiatement déclenché une nouvelle vague d'appels marketing. Il semble donc que les informations soient immédiatement disponibles et déclenchées par des modifications :(

Ceci est tellement flagrant et cohérent qu'il me fait croire que les informations sont immédiatement disponibles directement auprès de l'ICANN et / ou des entités d'enregistrement des noms, délibérément ou par négligence. Il est très probable que les bureaux d'enregistrement de noms commercialisent activement les informations ou du moins négligent pour les protéger.

Même après la dernière mise à jour il y a 3 mois, je continue de recevoir 1 à 2 appels par jour. À l'avenir, j'utiliserai des numéros de téléphone expirés ou par message uniquement. (J'ai un numéro de prise magique que je n'utilise plus ou je pourrais utiliser un numéro de voix Google qui n'est plus utilisé.)