Kayıt Sorumlusu Hesap verebilirlik
Gönderdiğimiz her istismar raporu kayıt altına alınır. Bu sayfa, bu kayıtları bir skor tablosuna dönüştürür: her bir kayıt kuruluşunun harekete geçmesi ne kadar sürüyor, kaç kez üst mercilere iletilmesi gerekiyor ve gözetimleri altında kaç tane kötü niyetli alan adı aktif kalıyor. Rakamlar ham verilerden deterministik olarak hesaplanır — kategoriler bizim tarafımızdan değil, bu rakamlardan türetilir.
Güvenlik yanılsaması — kayıt kuruluşları, görmezden geldikleri suistimallerden nasıl kâr elde ediyor?
Kağıt üzerinde, her kayıt kuruluşu, ICANN sözleşmesi gereği kötüye kullanım vakalarını soruşturmak ve bu konuda harekete geçmekle yükümlüdür. Uygulamada ise bu anlaşma kağıt üzerinde kalmaktadır — kasıtlı görmezden gelme üzerine kurulu bir iş modelini örtbas etmek için bir paravan görevi görmektedir. Bu projenin tüm geçmişi boyunca, ICANN'ın ihmalkar bir kayıt kuruluşuna karşı tek bir anlamlı yaptırım uyguladığını görmedik; oysa kayıt kuruluşu, sattığı her alan adı için — kötü niyetli olanlar da dahil — ücretini almaya devam etmektedir. Bir kayıt kuruluşu, VirusTotal’dan ve daha geniş bilgi güvenliği topluluğundan daha iyi bildiğine karar verip, uyarı işaretli bir alan adını yayında bırakabilir. Peki — ancak o zaman bir sonraki kurbanın uğrayacağı zararın hesabını kurban değil, kayıt kuruluşu vermek zorundadır.
Ağır ihmal
Geçerli ve kanıtlara dayalı istismar bildirimleri sistematik olarak görmezden geliniyor, örtbas ediliyor ya da otomatik bir “yanıt yok” mesajıyla karşılanıyor.
Tartışmasız kanıt, görmezden gelindi
VirusTotal ve bağımsız bilgi güvenliği laboratuvarları tarafından işaretlenen alan adları, kötüye kullanım bildirim masaları süreci uzatırken ya da yanıt vermezken hâlâ aktif durumda kalıyor.
Kâr getiren gecikmeler
Kötü amaçlı yazılımlar ve kimlik avı saldırıları haftalarca çevrimiçi kalıyor — her geçen gün, kayıt kuruluşunun hizmetini kesmeyeceği bir ücretli müşteri anlamına geliyor.
Bu hatanın bedelini biri öder
Kanıtları göz ardı ederseniz, sonuçların sorumluluğu size aittir. “Herhangi bir rapor yoktu” bahanesi artık işe yaramıyor — buradaki her bildirim kaydediliyor, zaman damgası ekleniyor ve talep üzerine dışa aktarılabiliyor.
Alan adlarını veya kayıt kuruluşlarını hedef almıyoruz. Burada hiçbir işlem zamanlayıcıya bağlı olarak yürütülmüyor — ve bu yıla kadar yeniden bildirimde bulunma imkânımız hiç yoktu. İlk uyarı, tespit edildiği anda gönderilir; ancak bir alan adının hâlâ aktif ve tehlikeli olduğunu bağımsız olarak yeniden doğruladıktan sonra durumu üst mercilere iletiriz ve sadece çok küçük bir kısmı bu aşamaya kadar gelir. Bu kısıtlamaya rağmen, sonuçlar ortada: bu yetersizlik değil, zımni suç ortaklığıdır — ve her e-posta, her tarih dahil olmak üzere tüm veriler tamamen dışa aktarılabilir. Aşağıda yer alanların hepsi makbuzlardır.
Tasarım gereği kamuya açık — her raporda bir açıklama notu yer alıyordu
Gönderdiğimiz her ihbar, alıcıya açık bir uyarı içerir: İhbarın içeriği — gönderildiği kesin tarih ve saat ile talebin tam metni dahil — kamuoyuna açıklanabilir ve açıklanacaktır. Bu sayfada yalnızca söz konusu uyarıyı içeren e-postalar yer almaktadır ve aynı uyarı, açık kaynak kodlu DestroyList veri deposu. Veriler bize aittir, her mesajda bu durum açıkça belirtilmiştir ve bunları yayınlama konusunda tam anlamıyla hak sahibiyiz.
Bazı kayıt kuruluşları, sanki kendi iç politikalarının ICANN’ın gerekliliklerinden ve ulusal yasalardan üstünmüş gibi davranıyor — sanki kendileri harekete geçmemeyi tercih ettikleri sürece kimlik avı ve dolandırıcılık “izinli”ymiş gibi. Bunu kamuoyuna açıklıyoruz ki herkes yalın gerçeği görebilsin: Bu tehditler, fark edilmedikleri için değil, sorumlu sağlayıcının hiçbir şey yapmamaya karar vermesi nedeniyle devam ediyor.
Her mağdur, kendisine zarar veren alan adı konusunda kayıt kuruluşunun kaç kez uyarıldığını ve bu kaybın kaç kez önlenebileceğini bilme hakkına sahiptir. Bu kayıt artık kamuya açıktır: bu sayfa ve içindeki tüm veri kümesi, MIT lisansı üzerinde GitHub, herkesin doğrulayabileceği, alıntı yapabileceği veya üzerine eklemeler yapabileceği, herkese açık bir kaynaktır.
Kayıt talebi
DestroyList, bağımsız, ticari amaç gütmeyen ve açık kaynaklı bir projedir. Herkes, belirli bir alan adı için kaç adet kötüye kullanım bildirimi gönderdiğimizi öğrenebilir — ancak bu, yalnızca herkese açık kanallar aracılığıyla mümkündür; böylece erişim herkes için eşit olur:
Metodoloji — bu rakamların nasıl hesaplandığı
(Eylemsizlik) derecesine göre sıralanmış kayıt kuruluşları
| Kayıt Sorumlusu | Alan adları | Raporlar | Askıya alınmış | Hiç askıya alınmadı | Sonuç |
|---|---|---|---|---|---|
| Hesap verebilirlik verileri yükleniyor… | |||||
Adalet güvence önlemleri. Cloudflare ve ücretsiz barındırma hizmetleri (Vercel, GitHub, Netlify ve benzeri) kasıtlı olarak listeye dahil edilmemiştir — bunlar ücretsiz hizmetlerdir, ücretli kayıt kuruluşları değildir ve kendi müşterilerini reddeden bir kayıt kuruluşunun arkasını kollamak onların görevi değildir. Bu hizmetlerin kötüye kullanım bildirim formları genellikle daha iyi ve daha hızlı çalışır; ayrıca, bir kayıt kuruluşu başarısız olduğunda yine de onlara manuel olarak bildirimde bulunuyoruz; bu nedenle onları burada puanlamak haksızlık olur. Küçük örneklemden kaynaklanan çarpıklığı önlemek için, 10'dan az raporlanmış alan adı bulunan kayıt kuruluşları listeye alınmamıştır. Yanıt medyanları yalnızca kaldırılması onaylanmış alan adları üzerinden hesaplanmaktadır; hâlâ aktif olan alan adları ayrı olarak sayılır ve ortalamaya dahil edilmez. Her bir iddia, yukarıdaki karma veri kümesinden yeniden üretilebilir.