N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
.tk Een Nederlandse ondernemer geeft al twintig jaar internetdomeinen van eilandstaatje Tokelau en vier Afrikaanse landen gratis weg. Maar het misbruik is ongekend hoog, en nu eist Meta een half miljard dollar.
Het jonge internet heeft nog niet lang geleden z’n eerste grote klap gehad. De dotcombubbel is gespat, de beurswaarde van grote internetbedrijven is geïmplodeerd, maar Joost Zuurbier zit optimistisch op een boot in de Stille Oceaan. Hij gaat internet brengen naar Tokelau.
De Amsterdamse ondernemer, dan 31 jaar, weet hoe je geld aan internet kunt verdienen. Dat wist hij al op zijn vijftiende, toen hij floppy’s met gedownloade software verkocht op de allereerste beurs van de Hobby Computer Club in Utrecht, en later, toen hij internetaansluitingen verkocht in de Vijzelstraat in Amsterdam en nog later, toen hij vlak voor het spatten van de bubbel een online betaaldienst opzette, onder meer voor pornowebsites. En nu biedt Tokelau een nieuwe, geweldige kans.
Na onderhandelingen – die begonnen met een fax naar de ulu, het staatshoofd van Toke-lau, via de Nederlandse ambassadeur in Nieuw-Zeeland waar de eilandjes onder vallen – heeft Zuurbier de lokale autoriteiten weten te overtuigen om hem hun eigen internetdomein te laten beheren. Door die deal kan hij alle internet-adressen die eindigen op .tk uitgeven en daar geld aan verdienen. In ruil daarvoor krijgt Tokelau, 1.500 inwoners op 10 vierkante kilometer, een deel van de opbrengst en een internetverbinding via een satelliet – de reden dat Zuurbier nu, in september 2003, met tassen vol apparatuur op een veerdienst van Samoa naar de drie atollen van het eilandengroepje zit, anderhalf etmaal varen verderop.
Het plan slaagt. Sterker, een aantal jaren later beheert Zuurbier de domeinen van vijf landen en heeft hij een internationaal web van lucratieve internetbedrijven rond domeinnamen, advertenties en online betalingen geweven. Het Tokelause internetadresboek groeit door zijn toedoen uit tot een van de grootste ter wereld.
Maar wat op de boot in de Stille Oceaan nog zo’n goed idee leek, is twintig jaar later een blok aan het been geworden. Zuurbier vecht een conflict uit met een investeerder, die bij de Ondernemingskamer van het gerechtshof Amsterdam een onafhankelijk onderzoek heeft afgedwongen. Het .tk-domein van het tropische eilandenrijkje is inmiddels het riool van het internet. En Meta, het moederbedrijf van internetgigant Facebook, heeft een claim van een half miljard dollar bij hem neergelegd, omdat zijn domeinen-business medeplichtig zou zijn aan inbreuk op het merkrecht en het faciliteren van cybercriminaliteit.
Het .tk-domein van het tropische eilandenrijkje is inmiddels het riool van het internet
Een „onzinclaim”, zegt Zuurbier daar zelf over in zijn Amsterdamse kantoor, al moet hij toegeven dat de domeinenhandel bovenmatig veel malafide partijen heeft aangetrokken en z’n „slechtste businessmodel ever” was.
Adresboek van het internet
Het was nog voor internet echt internet was, toen in de jaren tachtig computerwetenschappers nadachten over de bewegwijzering voor de datapakketjes die over het prille netwerk van computers werden verstuurd. Hoe kon daar enige ordening in komen? Per soort instelling? Per land?
Het werd beide. Nadat afkortingen waren vastgesteld zoals .gov, .edu en .com voor overheids- en onderwijsinstanties en bedrijven, begon de Amerikaanse instantie die verantwoordelijk is voor adressering ook ‘domeinnaamextensies’ aan landen uit te delen, naar de tweeletterige landencodes die ooit al waren vastgesteld. Het beheer van zo’n ‘.de’, ‘.fr’ of ‘.nl’ kwam in handen van wie er maar zin in had – de internetgemeenschap was nog niet zo groot en wie kon voorspellen dat dit een miljardenbusiness zou worden? In Nederland stak Piet Beertema, een plichtsgetrouwe systeembeheerder van het Centrum voor Wiskunde en Informatica, z’n hand op. Op 25 april 1986 registreerde Beertema het eerste .nl-adres, en zo werd het Nederlandse deel van het internet actief.
Beertema nam zijn verantwoordelijkheid. Hij deed tien jaar lang de registratie van nieuwe namen, tot hij met een paar anderen SIDN oprichtte, de Stichting Internet Domeinregistratie Nederland, die nog steeds verantwoordelijk is voor het .nl-domein. SIDN wijst voor een klein bedrag domeinnamen toe, in ruil voor techniek, administratie en misbruikbestrijding. Zo speelt SIDN een belangrijke rol in het wereldwijde domain name system (DNS) dat is ontstaan, het adresboek van het internet.
Maar niet in ieder land kwam de afkorting zo goed terecht. Een aantal landen waar internet nauwelijks van de grond kwam, gaf de extensie weg, of verkocht die aan slimme ondernemers die er handel in zagen, zoals een projectontwikkelaar aast op leegstaand onroerend goed. Het domein .tv van eilandenrijkje Tuvalu wordt inmiddels commercieel geëxploiteerd door derden, net als .nu van Niue, beide in de buurt van Tokelau. En ook .io dat eigenlijk voor het Brits-Indische Oceaanterritorium staat, en favoriet is bij start-ups omdat ‘io’ ook voor input/output staat. De domeinen zijn eigendom van de landen, ze mogen zelf beslissen wat ze er mee doen.
Het domein .tv van eilandenrijkje Tuvalu wordt inmiddels commercieel geëxploiteerd door derden, net als .nu van Niue, beide in de buurt van Tokelau
Het beheren van domeinnamen is inmiddels een lucratieve bezigheid. Verisign uit de VS, uitgever van onder meer .com en .net, noteerde in 2022 een operationele winst van 675 miljoen dollar, op een omzet van 1,42 miljard.
Tosti’s kaas
Op een warme middag in september 2003 lukt het Joost Zuurbier om de kabel van de satellietschotel op het Tokelause eilandje Fakaofo zo aan te passen dat er internetverkeer overheen kan. Hij heeft net een lange, stormachtige nacht op zee achter de rug, meldt het webdagboek dat hij en zijn zakenpartner van de reis bijhouden. Foto’s tonen kasten vol kabels en een zwetende Zuurbier aan het werk. Tijdens de werkzaamheden doet de telefoon het niet en is het eilandenrijk volstrekt onbereikbaar voor de buitenwereld. De dag erna installeert Zuurbier een modem en een router, en dan heeft Toke-lau voor het eerst in zijn geschiedenis een redelijke internetverbinding. Een dag later opent het internetcafé voor de bewoners, van wie velen nog nooit een webpagina hebben gezien.
In ruil voor deze grote stap in de Tokelause ontwikkeling mag Zuurbier via een Amsterdamse bv Tokelause domeinnamen registreren. Ter promotie deelt hij op internetconferenties tosti’s kaas uit, „inclusief gratis .tk-domeinnaam”. Daarna verlegt hij zijn blik naar Afrika. In de jaren erna gaat hij ook met vier Afrikaanse landen in zee. In Gabon wint hij een aanbesteding en in de Centraal-Afrikaanse Republiek brengt hij het hele domein terug online, nadat rebellen de infrastructuur hebben gestolen. En zo kan het dat achter de glazen pui van een kantoorgebouw aan de Danzigerkade in Amsterdam, met uitzicht over de Nieuwe Houthaven, de internet-adresboeken van vijf landen beheerd worden. Vanaf hier voert Zuurbier regie over de internetdomeinen van Tokelau (.tk), Centraal-Afrikaanse Republiek (.cf), Equatoriaal-Guinea (.gq), Mali (.ml) en Gabon (.ga).
:strip_icc()/s3/static.nrc.nl/bvhw/files/2023/05/data100994457-2ffcd9.jpg%7C//images.nrc.nl/X4srM8QJfkMyZeMCFCgd77CtA_I=/1920x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2023/05/data100994457-2ffcd9.jpg%7C//images.nrc.nl/8iDIcpU2s4ll-KKvBB-IYLYMJiY=/5760x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2023/05/data100994457-2ffcd9.jpg)
Illustratie Ming Ong
De uitgifte verloopt via zijn bedrijf Freenom, ‘a name for everyone’. Voor Freenom hanteert Zuurbier een ‘freemium’ businessmodel. Hij doet het anders dan de meeste partijen: iedereen kan bij hem een gratis internetadres krijgen met de afkorting .tk of .ml. of .cf., maar Freenom blijft de eigenaar van de domeinen. Op die manier kan hij eraan verdienen. Als de sites inactief raken of verlopen, blijven er altijd bezoekers binnenkomen die nog niet doorhebben dat de site dood is. Dit ‘residuverkeer’ verkoopt Zuurbier aan advertentienetwerken.
Klanten kúnnen wel betalen bij Zuurbier en daarmee zelf eigenaar worden van een domein, maar dat model komt niet zo goed van de grond. Mensen willen niet betalen voor een onduidelijk .tk of .gq-adres, dan kopen ze wel een chic .nl of .com-domein. De gratis dienstverlening neemt wel een vlucht, met name die via Tokelau. Eind 2021, blijkt uit een rapport van concurrent Verisign, staan zo’n 24,7 miljoen domeinen bij .tk geregistreerd, puur omdat Zuurbier ze gratis aanbiedt. .Com is met zo’n 150 miljoen adressen veel groter, maar de Tokelause internetzone is op dat moment wel het grootste landendomein op internet, op afstand gevolgd door Duitsland (.de) met 17 miljoen domeinen. Voor het piepkleine Tokelau betekent dat omgerekend 16.000 webadressen per inwoner. Een jaar later wordt .tk van de lijsten geschrapt. Verisign schrijft dat het niet meer betrouwbaar de omvang van die zone kan inschatten.
Hoe Tokelau precies profiteert van z’n gigantische internetvoetafdruk, is onduidelijk. De afspraak met Zuurbier is dat Tokelau deelt in de winst, via een joint venture van het Tokelause telecombedrijf en een bv van Zuurbier. Na een aantal jaar zou de opbrengst goed zijn voor 10 tot 20 procent van het bbp van circa 8 miljoen euro van het eilandstaatje, melden nieuwsberichten, maar betrouwbare cijfers ontbreken. Hoeveel het Zuurbier oplevert, blijft ook onduidelijk. Winstcijfers zijn niet bekend en jaarrekeningen worden niet of minimaal gedeponeerd.
Phishing
Op 29 april 2022 komt er bij de Nederlandse Ondernemingskamer een verzoekschrift binnen van een Frans investeringsfonds. Kima Ventures stak in 2013 en 2015 in totaal 3 miljoen dollar in Zuurbiers domeinenbusiness Freenom. In ruil daarvoor kreeg het iets meer dan een kwart van de aandelen. Maar waar is het geld? Kima eist opheldering via de Ondernemingskamer in Amsterdam, de rechtbank die over geschillen in bedrijven oordeelt. Er moet een onafhankelijk onderzoek naar de gang van zaken komen, vindt Kima, en een bestuurder worden benoemd die orde op zaken stelt en zorgt dat Kima z’n inleg terug krijgt.
Terwijl het zakelijk imperium van Zuurbier groeit, keldert de reputatie van zijn domeinenbedrijf.
De landendomeinen die Freenom beheert, zijn gaandeweg veranderd in de open riolen van het internet. „Domeinen die gratis weggegeven worden, trekken ellende aan”, zegt Carel Bitter daarover. Hij is data-analist bij het internationale anti-spamcollectief Spamhaus. Al vele jaren, zegt Bitter, domineren de domeinen die door Freenom uitgegeven worden de ranglijsten van bronnen van abuse, een vakterm voor online misère als spam (ongewenste bulkmail), phishing (hengelen naar gevoelige gegevens) en malware (kwaadaardige software). Van de tien meest gebruikte afkortingen van phishing-websites, zijn er vijf van Freenom, .tk als tweede onder .com. Onderzoeksbureau Interisle vond vorig jaar zo’n 100.000 phishingsites die geregistreerd waren via het bedrijf van Zuurbier.
‘Phishers’ die hengelen naar gevoelige gegevens hebben een constante stroom aan wegwerpdomeinen nodig. Door aangescherpte regels worden de meeste websites binnen 48 uur wel offline gehaald, en die moeten vervangen worden, het liefst zo goedkoop mogelijk. De gratis uitgedeelde domeinen van Freenom worden zo een vrijplaats voor internetcriminaliteit.
Die verslechterde reputatie is geen reclame voor de betaalde dienst van Freenom. Wie wil nou nog betalen voor een .tk- of .cf-domein dat wordt geassocieerd met oplichting? Wat beslist ook niet helpt is dat het verdienmodel met advertenties in elkaar is gestort. Google is in 2016 gestopt met adverteren op verlopen domeinen en daarmee, zo zegt Zuurbier zelf, is het grootste deel van de inkomsten weggevallen.
‘Phishers’ die hengelen naar gevoelige gegevens hebben een constante stroom aan wegwerpdomeinen nodig
Investeerder Kima maakt zich dan ook zorgen over de „financiële en operationele staat” van Freenom. De informatievoorziening is gebrekkig, vindt Kima, jaarverslagen worden niet gedeponeerd, en de boekhouding is rommelig. Zo wordt personeel van de dochteronderneming, zo’n tien mensen, al jaren betaald vanuit de holding. Zuurbier lijkt veel meer aandacht te hebben voor zijn online betaaldienst die wel winstgevend is, klaagt de investeerder in het verzoekschrift aan de Ondernemingskamer, in tegenstelling tot de „achterhaalde” domeinenbusiness.
Porno
Het bedrijf dat wel winst maakt draait om creditcardbetalingen. Zuurbier verwerkt die al vanaf 1997, onder de handelsnamen Verza en Verotel. Zijn clièntele bestaat uit, naar eigen zeggen, meer dan vijftigduizend „high risk webmasters”, vooral in de online porno-industrie: internetondernemers die betalingen willen ontvangen, maar aan wie banken hun handen niet graag aan branden. Webcammodellen ontvangen via Verotel betalingen van hun klanten. Het betalingsverwerkingsbedrijf, dat ook handelt onder de namen GayCharge en Hushpay, roomt tussen de 2 en 15 procent van iedere transactie af. Verotel is trots op de vestigingsplaats Amsterdam, „de Europese hoofdstad van de adult business”.
Het betalingsverwerkingsbedrijf moet een digitale bank worden, compleet met bankpassen. Eind 2019 krijgt Zuurbier de benodigde vergunning van toezichthouder De Nederlandsche Bank en is Verotel, onder de naam Your-Safe, een elektronische geldinstelling en mag het elektronisch geld uitgeven. Persoonlijk verdient Zuurbier ook goed. Op naam van zijn bv’s staan tientallen panden in en rond Amsterdam.
De adult industry is maar een deel van het werk, zegt Zuurbier in zijn kantoor. YourSafe biedt „betaaloplossingen voor iedereen”, ook voor mensen die door partijen als PayPal worden geweigerd omdat ze als risicogroep worden gezien, of buitengesloten omdat ze onwenselijk zijn. Dat kunnen inderdaad webcammodellen zijn, maar ook „asielzoekers of gays in Hongarije”, zegt Zuurbier, of ondernemers met een nieuw product zoals „plastic tandjes” of mensen die versleutelde verbindingen op internet aanbieden. Zo heeft YourSafe een contract met asielzoekersopvangorgaan COA, om asielzoekers een betaalrekening te kunnen bieden. Recent heeft Zuurbier oud-ABN-topman Rijkman Groenink weten te strikken als commissaris.
Persoonlijk verdient Zuurbier ook goed. Op naam van zijn bv’s staan tientallen panden in en rond Amsterdam
Kima vindt dat Zuurbier te veel bezig is met z’n betalingsbedrijf, en zijn domeinenbusiness verwaarloost. Het vonnis van oktober 2022 valt gunstig uit voor de Fransen. Een extra bestuurder wil de rechtbank niet aanwijzen, maar er moet wel een onafhankelijk onderzoek komen, dat het bedrijf zelf gaat betalen – van geld dat het zegt niet te hebben. Zuurbier belooft z’n jaarverslagen op orde te brengen.
Rommel opruimen
Maar de problemen zijn niet voorbij. Zijn betalingsverwerkingsbedrijf, dat dit jaar van hem moet doorgroeien naar 150 mensen, slokt al zijn aandacht op. Maar hij moet ook de rommel die zijn domeinenbusiness heeft aangetrokken, opruimen.
Dat vindt Meta althans. In december 2022 dient het Amerikaanse moederbedrijf van Facebook, WhatsApp en Instagram in de VS een claim in tegen de domeinenbusiness van Zuurbier. Als een van de grootste internetmerken heeft Meta last van de domeinen die malafide partijen verkrijgen via Freenom. Hackers registreren via het bedrijf gratis websites, die ze ombouwen tot nep-Facebooks en nep-In-stagrams, hopend dat gebruikers er na op belanden en zo hun geheime inloggegevens afstaan.
Meta’s advocaten wijzen op zeker vijfduizend webadressen die vrijwel identiek zijn aan of verwarrend veel lijken op zijn sociale netwerken, zoals faceb00k.ga, fb-lnstagram.cf en chat-whatsaap.gq. Het bedrijf beschuldigt Zuurbier bovendien van ‘cybersquatting’: het registreren van domeinnamen die lijken op populaire merknamen, in de hoop die voor goed geld te kunnen verkopen. Het Amerikaanse bedrijf wil per domein 100.000 dollar zien van Zuurbier en zijn bedrijven. De geëiste schadevergoeding bedraagt in totaal een half miljard dollar.
:strip_icc()/s3/static.nrc.nl/bvhw/files/2023/05/data100994460-821b6a.jpg%7C//images.nrc.nl/21aZdWsQJZcV4h3MqpaaFZ9pIeY=/1920x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2023/05/data100994460-821b6a.jpg%7C//images.nrc.nl/yGGAdP5Id3_E2FU7tx0R0T0OvSw=/5760x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2023/05/data100994460-821b6a.jpg)
Freenom verdient er zelfs aan, argumenteert Meta in de aanklacht. De advocaten halen een rapport van de Europese Commissie aan over domeinnaammisbruik, waarin ook Freenom is onderzocht, en gratis domeinen via Freenom uit de bus kwamen als één van de belangrijkste bronnen van phishing-aanvallen. Als zo’n site niet meer actief is, redeneert het bedrijf, sluist Freenom de resterende bezoekers gauw door naar internetpagina’s vol advertenties. Een woordvoerder van Meta zegt tegen NRC: „We staan niet toe dat iemand zich voordoet als een van Meta’s apps en nemen juridische stappen tegen de entiteiten en personen die hierachter zitten om mensen te beschermen tegen phishing-aanvallen en andere malafide praktijken.”
Begin 2023, een maand na de klacht, verandert er iets bij Freenom. Klanten kunnen geen nieuwe gratis domeinen meer registreren, alleen nog maar verlengen – iets wat ook de internetgemeenschap niet ontgaat. De invloedrijke techjournalist Brian Krebs schrijft erover. De website van Freenom heeft het over „technische problemen” waardoor de uitgifte „tijdelijk opgeschort is”. Ook gaat Mali niet verder met Zuurbier. Op 17 maart schrijft communicatie-agentschap van de Malinese overheid over „de repatriëring” van de .ml-domein. „Vanaf middernacht” is het contract tussen Zuurbier en Mali beëindigd, schrijft het agentschap.
De effecten van de haperende dienstverlening zijn meteen merkbaar. In de eerste kwartaalcijfers ziet Spamhaus een „dramatische afname” van phishing en malware via de vijf door Zuurbier beheerde landendomeinen.
Reputatie
YourSafe-commissaris Rijkman Groenink weet niks van een schadeclaim van Meta. „Die domeinenbusiness is toch een beetje aan het doodbloeden”, zegt hij aan de telefoon. „Maar ik ga Joost er wel even over bellen.”
Zuurbier, nadat hij Groenink heeft gesproken: „Nou ja, hij vond wel dat ik hem had moeten inlichten.”
In zijn kantoor met uitzicht over de Amsterdamse havens wil Zuurbier vertellen hoe onzinnig de klacht van Meta is. Hij neemt het gesprek op, dat willen zijn Amerikaanse advocaten. Mocht er reputatieschade door dit artikel ontstaan, dan kan hij dat misschien nog op Meta verhalen. „Ik zit heel erg op reputatie.”
Dit is wat hij onzinnig vindt. Zijn domeinenbusiness heeft niks te maken met zijn betalingsbedrijf – Meta haalt die twee telkens door elkaar. En ja, hij verdiende aan advertenties, maar dat stortte in 2016 al grotendeels in, toen Google z’n voorwaarden veranderde. En, belangrijk: Facebook heeft in 2012 de technische mogelijkheid van Freenom gekregen om zélf domeinen offline te halen die erg leken op Facebook-namen. Hij kan er niks aan doen dat het bedrijf dit stukje software met bijbehorend contract in 2015 vergeten is. Zo’n negentig partijen hebben die mogelijkheid ook – een model dat Carel Bitter van Spamhaus „cynisch” noemt, omdat Freenom op die manier anderen opzadelt met de verantwoordelijkheid voor het schoonhouden van de internetzone in hun beheer. Zuurbier zegt daarover: „We hebben hier fulltime mensen zitten die vierhonderd klachten per dag afhandelen, terwijl het niks meer oplevert. We nemen verantwoordelijkheid.”
Binnen nu en een paar dagen komen hij en Meta met een gezamenlijke verklaring, belooft hij. Hij gaat een technische tool ontwikkelen tegen misbruik, en verder gaat hij niks betalen. Meta wil daar niet op reageren.
Maar dan de rommel die te vinden is op de gratis domeinen? Wat betekent Zuurbiers handelswijze nu voor de landen die niks van internet wisten en hun afkorting ooit aan hem gaven, zoals de Tokelause bestuurders in 2001? Een slechte reputatie kan consequenties hebben, domeinen kunnen op zwarte lijsten zijn beland. Wie ruimt het op?
Mailtjes en contactverzoeken van NRC naar Tokelau blijven onbeantwoord. Zuurbier erkent en betreurt het misbruik van de domeinnamen onder zijn beheer, zegt hij. In 2021 en 2022 werd het misbruik „verbijsterend”. Hij zag Aziatische ‘clickfarms’ in hoog tempo gratis domeinen registreren, het was niet bij te houden. Hij probeert zijn domeinenbusiness af te bouwen, want „de gouden jaren van domeinnamen zijn toch voorbij, nu iedereen op sociale media zit”. Vanaf begin dit jaar heeft Freenom nieuwe registraties opgeschort. De computerapparatuur die Zuurbier wereldwijd heeft draaien is verouderd en moet vervangen worden en de contracten met de Afrikaanse landen lopen af. Hij zoekt naar mogelijkheden om de systemen goed over te dragen, al weet de Centraal-Afrikaanse Republiek zelf nog niet hoe. Alleen met Tokelau loopt het contract nog door.
Een slechte reputatie kan consequenties hebben, domeinen kunnen op zwarte lijsten zijn beland. Wie ruimt het op?
Maar van een akelige erfenis die hij moet opruimen spreekt hij niet. „De landen hebben er allemaal goed aan verdiend. En het aantal domeinnamen dat op een goede manier is gebruikt, is vele en vele malen groter. Dat had een positieve impact op de landen zelf die hun internet konden ontwikkelen en op de lokale internetgebruikers, die ook gratis een domein konden registreren.”
Bij de Nederlandse domeinnamenstichting SIDN, die van Piet Beertema, denken ze er anders over. Michiel Henneke werkt er als marketingmanager. „Ik vraag me af of de bevolking van die landen wel weet wat de vertegenwoordigers van hun regeringen hebben gedaan, toen ze de registratie overdroegen. Kon je al die jaren geleden, toen het internet nog in de kinderschoenen stond, weten waarvoor je tekende? Soms stond er een smak geld tegenover, maar hun domeinen worden tot in de eeuwigheid geassocieerd met kwestieuze zaken.”
