Ana içeriğe atla
Kanıt · Görüş Değil · Her Gün Güncellenir

Kayıt Sorumlusu Hesap verebilirlik

Gönderdiğimiz her istismar raporu kayıt altına alınır. Bu sayfa, bu kayıtları bir skor tablosuna dönüştürür: her bir kayıt kuruluşunun harekete geçmesi ne kadar sürüyor, kaç kez üst mercilere iletilmesi gerekiyor ve gözetimleri altında kaç tane kötü niyetli alan adı aktif kalıyor. Rakamlar ham verilerden deterministik olarak hesaplanır — kategoriler bizim tarafımızdan değil, bu rakamlardan türetilir.

Güvenlik yanılsaması — kayıt kuruluşları, görmezden geldikleri suistimallerden nasıl kâr elde ediyor?

Kağıt üzerinde, her kayıt kuruluşu, ICANN sözleşmesi gereği kötüye kullanım vakalarını soruşturmak ve bu konuda harekete geçmekle yükümlüdür. Uygulamada ise bu anlaşma kağıt üzerinde kalmaktadır — kasıtlı görmezden gelme üzerine kurulu bir iş modelini örtbas etmek için bir paravan görevi görmektedir. Bu projenin tüm geçmişi boyunca, ICANN'ın ihmalkar bir kayıt kuruluşuna karşı tek bir anlamlı yaptırım uyguladığını görmedik; oysa kayıt kuruluşu, sattığı her alan adı için — kötü niyetli olanlar da dahil — ücretini almaya devam etmektedir. Bir kayıt kuruluşu, VirusTotal’dan ve daha geniş bilgi güvenliği topluluğundan daha iyi bildiğine karar verip, uyarı işaretli bir alan adını yayında bırakabilir. Peki — ancak o zaman bir sonraki kurbanın uğrayacağı zararın hesabını kurban değil, kayıt kuruluşu vermek zorundadır.

Ağır ihmal

Geçerli ve kanıtlara dayalı istismar bildirimleri sistematik olarak görmezden geliniyor, örtbas ediliyor ya da otomatik bir “yanıt yok” mesajıyla karşılanıyor.

Tartışmasız kanıt, görmezden gelindi

VirusTotal ve bağımsız bilgi güvenliği laboratuvarları tarafından işaretlenen alan adları, kötüye kullanım bildirim masaları süreci uzatırken ya da yanıt vermezken hâlâ aktif durumda kalıyor.

Kâr getiren gecikmeler

Kötü amaçlı yazılımlar ve kimlik avı saldırıları haftalarca çevrimiçi kalıyor — her geçen gün, kayıt kuruluşunun hizmetini kesmeyeceği bir ücretli müşteri anlamına geliyor.

Bu hatanın bedelini biri öder

Kanıtları göz ardı ederseniz, sonuçların sorumluluğu size aittir. “Herhangi bir rapor yoktu” bahanesi artık işe yaramıyor — buradaki her bildirim kaydediliyor, zaman damgası ekleniyor ve talep üzerine dışa aktarılabiliyor.

Alan adlarını veya kayıt kuruluşlarını hedef almıyoruz. Burada hiçbir işlem zamanlayıcıya bağlı olarak yürütülmüyor — ve bu yıla kadar yeniden bildirimde bulunma imkânımız hiç yoktu. İlk uyarı, tespit edildiği anda gönderilir; ancak bir alan adının hâlâ aktif ve tehlikeli olduğunu bağımsız olarak yeniden doğruladıktan sonra durumu üst mercilere iletiriz ve sadece çok küçük bir kısmı bu aşamaya kadar gelir. Bu kısıtlamaya rağmen, sonuçlar ortada: bu yetersizlik değil, zımni suç ortaklığıdır — ve her e-posta, her tarih dahil olmak üzere tüm veriler tamamen dışa aktarılabilir. Aşağıda yer alanların hepsi makbuzlardır.

İhmalkar Yavaş Duyarlı Örnek yetersiz
Metodoloji — bu rakamların nasıl hesaplandığı

(Eylemsizlik) derecesine göre sıralanmış kayıt kuruluşları

Kayıt Sorumlusu Alan adları Raporlar Askıya alınmış Hiç askıya alınmadı Sonuç
Hesap verebilirlik verileri yükleniyor…

Adalet güvence önlemleri. Cloudflare ve ücretsiz barındırma hizmetleri (Vercel, GitHub, Netlify ve benzeri) kasıtlı olarak listeye dahil edilmemiştir — bunlar ücretsiz hizmetlerdir, ücretli kayıt kuruluşları değildir ve kendi müşterilerini reddeden bir kayıt kuruluşunun arkasını kollamak onların görevi değildir. Bu hizmetlerin kötüye kullanım bildirim formları genellikle daha iyi ve daha hızlı çalışır; ayrıca, bir kayıt kuruluşu başarısız olduğunda yine de onlara manuel olarak bildirimde bulunuyoruz; bu nedenle onları burada puanlamak haksızlık olur. Küçük örneklemden kaynaklanan çarpıklığı önlemek için, 10'dan az raporlanmış alan adı bulunan kayıt kuruluşları listeye alınmamıştır. Yanıt medyanları yalnızca kaldırılması onaylanmış alan adları üzerinden hesaplanmaktadır; hâlâ aktif olan alan adları ayrı olarak sayılır ve ortalamaya dahil edilmez. Her bir iddia, yukarıdaki karma veri kümesinden yeniden üretilebilir.