在域名註冊商開始編輯所有公共域名註冊記錄中的個人數據五年多之後,負責監管域名行業的非營利組織推出一項集中在線服務,旨在方便研究人員、執法部門和其他人直接向註冊商索取信息。
2018 年 5 月,互聯網名稱與數字地址分配機構(ICANN)--管理全球域名系統的非營利實體--指示所有註冊商從 WHOIS 系統中刪除客戶的姓名、地址、電話號碼和電子郵件,WHOIS 系統是存儲域名註冊用戶和互聯網地址范圍塊的數據庫查詢系統。
ICANN 做出這一政策調整是為響應《通用數據保護條例》(GDPR),該條例是歐洲議會頒佈的一項法律,要求公司在收集歐盟境內用戶的任何個人信息時都必須征得用戶的同意。在此期間,註冊商將繼續收集數據,但不會公佈這些數據,ICANN 承諾將開發一個系統,為獲取這些信息提供便利。
2023 年 11 月底,ICANN 推出註冊數據請求服務 (RDRS),旨在為參與註冊商提供提交註冊數據請求的一站式服務。ICANN 的這段視頻介紹該系統的工作原理。
經認可的註冊商不必參與,但 ICANN 要求所有註冊商加入,並表示參與者可以隨時選擇退出或停止使用。ICANN 認為,使用標準化的申請表更容易提供正確的信息和證明文件,以便對申請進行評估。
ICANN 稱,RDRS 並不保證可以訪問請求的註冊數據,註冊商和請求者之間的所有通信和數據披露都在系統之外進行。該服務不能用於請求與國傢代碼頂級域(CCTLD)相關的 WHOIS 數據,例如那些以 .de(德國)或 .nz(新西蘭)結尾的域名。
正如 Catalin Cimpanu 為《風險商業新聞》撰寫的文章所述,目前調查人員可以向每個註冊商提出法律請求或濫用報告,但 RDRS 背後的理念是創建一個場所,讓"經核實"的各方提出的請求可以更快、更可信地得到滿足。
註冊商界普遍認為,公開 WHOIS 數據是域名客戶的一個麻煩問題,也是一個不受歡迎的成本中心。隱私權倡導者認為,網絡犯罪分子無論如何都不會在註冊記錄中提供自己的真實信息,要求公開 WHOIS 數據隻會導致域名註冊者受到垃圾郵件發送者、欺詐者和跟蹤者的糾纏。
與此同時,安全專傢認為,即使在線濫用者在 WHOIS 記錄中故意提供誤導或虛假信息,這些信息對於摸清其惡意軟件、網絡釣魚和詐騙活動的范圍仍然非常有用。更重要的是,絕大多數網絡釣魚都是借助被攻擊的域名進行的,而清理這些被攻擊域名的主要方法就是使用 WHOIS 數據聯系受害者和/或其主機提供商。
KrebsOnSecurity 仍然懷疑,參與的註冊商會不會因為通過 ICANN 提出要求,就更願意與研究人員共享 WHOIS 數據。
無論 RDRS 成功與否,2024 年生效的另一項歐洲法律可能會給註冊商帶來更多壓力,迫使他們回應合法的 WHOIS 數據請求。新的《網絡與信息安全指令》(NIS2)要求註冊商保存更準確的WHOIS記錄,並在24小時內響應WHOIS數據請求,這些請求涉及從網絡釣魚、惡意軟件和垃圾郵件到版權和品牌執法等各個方面。