Lmst
Login

#BigTechIsEvil

Erik van StratenErikvanStraten@todon.nl
2026-03-15

CLOUDFLARE IS EVIL

De phishingsite, waar ik op 12 maart over schreef (todon.nl/@ErikvanStraten/11621), is nog steeds live.

Die site wordt nu door 2 van 94 virusscanners als kwaadaardig gezien, namelijk door "Chong Lua Dao" en "Webroot": virustotal.com/gui/domain/digi

De site wordt "gehost" (feitelijk geproxied) door Cloudflare sinds 3 maart via de IPv4-adressen 104.21.89.55 en 172.67.188.36 (naast twee IPv6 adressen).

En die site gebruikt een Let's Encrypt https server certificaat dat nog niet is ingetrokken - maar beschikt ook over een nog geldig certificaat van Sectigo (zie crt.sh/?Identity=4417.info&ded).

#CloudflareIsEvil #LetsEncryptIsEvil #SectigoIsEvil #BigTechIsEvil #GoogleIsEvil #AmazonIsEvil #MicrosoftIsEvil

Na openen van "https://digitaalformulier.4417.info" (dringend advies: niet zelf doen!) en klikken op de knoppen respectievelijk "Open Berichtenbox" en "Uw gegevens bevestigen" verschijnt een invulformulier. Onder een knop "Terug naar home" staat het DigiD logo gevolgd door de tekst: Teruggave 2025 MijnOverheid Daaronder een invulformulier met bovenaan de tekst "Vul hieronder uw gegevens in" gevolgd door invulvelden met de volgende labels: Voor- en achternaam E-mail Postcode + Huisnummer Telefoonnummer Geboortedatum IBAN En daar weer onder een knop "Indienen". Ten slotte staat onderaan (met niet-werkende links): Vraag en antwoord > Mag ik een DigiD aanvragen voor iemand anders? > Ik woon buiten Nederland. Hoe vraag ik een DigiD aan? > Ik weet een deel van mijn geboortedatum niet. Wat moet ik invullen?
Erik van StratenErikvanStraten@todon.nl
2026-03-12

@bert_hubert voetnoot 4 uit de PDF in open.overheid.nl/details/36acf:

For the purpose of this memorandum, we assume that the Nitro System technically works as contractually committed by AWS. A technical investigation is out of scope of this memorandum.

Als gegevens client-side worden versleuteld vóór upload en ontsleuteld na download heb je een hele dure *domme* versleutelde disk op afstand. Je kunt dan niet allerlei slimme bewerkingen (en zoekopdrachten) uitvoeren zonder data te downloaden. Dit heeft dan ook niets meer met SAAS en andere gebruikelijke clouddiensten te maken.

Het alternatief is dat (ook) AWS een sleutel heeft, maar dan is het game over voor NL zodra AWS een FISA Section 702 (o.i.d.) gag order ontvangt (met een zwijgplicht instructie erbij).

In het eerste geval kan AWS of een drie-letter overheidsdienst betrokken ambtenaren (bijv. middels social engineering of omkoping) overhalen om de sleutel af te staan.

Geef ze niet onze data, ook niet versleuteld. Doe je dat wel dan hebben zij "the cards". Behandel de VS alsof het ransomware-criminelen zijn.

Dealen met de US big tech lobby is vechten tegen de bierkaai...

#UScloudAct #USAcloudAct #AmazonIsEvil #BigTechIsEvil #USisEvil #USAisEvil #DigiD #BTW #Defensie

Erik van StratenErikvanStraten@todon.nl
2026-03-12

@wouterkobes : dan kan ik aan de gang blijven en dat helpt niks: áls websites al worden down gehaald duurt dat veel te lang en er verschijnen steeds weer nieuwe. Zie ook security.nl/posting/928043.

Ik heb allerlei voorstellen geschreven hoe we internet weer veiliger zouden kunnen krijgen, maar dat kost Big Tech inkomsten. Zij hebben het internet *bewust* onveilig gemaakt.

#BigTechIsEvil

Erik van StratenErikvanStraten@todon.nl
2026-03-12

Phishing na Odido datalek 🧵1 (draadje)

Vanochtend kreeg ik een phishingmail in mijn inbox (niet de spambox). Sinds Odido mijn e-mailadres gelekt heeft, ontvang ik bijna elke dag één of meer phishing-mails.

In die mail (foto verderop in deze draad) staat:

beste heer/mevrouw,

er staat een ongelezen bericht in uw
persoonlijke berichtenbox van mijnoverheid.

Hoogachtend,
Klantenservice

Onder " persoonlijke berichtenbox" zat een link. Als ik daarop druk, opent de webbrowser en verschijnt een pagina waar u hieronder een screenshot (schermopname) van ziet.

Alles wat u ziet is nep of onbelangrijk, behalve de domeinnaam (websitenaam of webadres):

digitaalformulier.4417.info (niet zelf openen!)

Het "Top Level Domain" hier, "info", wordt (hopelijk) nooit gebruikt door de Nederlandse overheid - en zeker niet voor "Mijn Berichtenbox" (wel: nl).

De hoofddomeinnaam, "4417.info" is dus niet van de overheid. Het subdomein "digitaalformulier.4417.info" dus ook niet!

Nb. in veel browsers zit de adresbalk onderin, ik heb het zelf zo ingesteld dat deze bovenin zit (de domeinnaam is het éérste dat ik wil zien).

#Odido #Datalek #Phishing #BigTechIsEvil #CloudflareIsEvil #GoogleIsEvil #LetsEncryptIsEvil #DVcertsAreEvil #DVcertsAreWorthless #DVcertsArePointless #DVcerts

Screenshot van Chrome webbrowser (onder Android). In de adresbalk is de domeinnaam (websitenaam of webadres) te zien (niet zelf openen!): digitaalformulier.4417.info Links daarvan de twee "koffielepeltjes" (tegengestelde richting) waarmee Chrome aangeeft dat uw browser een veilige versleutelde verbinding heeft met een website met de hierboven genoemde domeinnaam. Aan die versleuteling heeft u niets, want het is een nepsite. Bovenin zie ik een blauwgrijs vlak met in grote witte letters "MijnOverheid". Daaronder, in kleinere letters: Post van de overheid digitaal ontvangen Uw persoonlijke gegevens op één plek Weer daaronder een grote knop met links het DigiD-logo en rwchts de tekst: "Open berichtenbox". Onderin, op bijna zwarte achtergrond met witte tekst, allerlei hulp-links (die op deze nepsite niet werken als je erop drukt) zoals: OVER DEZE SITE Wat is MijnOverheid Toegankelijkheid Sitemap GEGEVENSVERWERKING Veiligheid Privacyverklaring Wet- en regelgeving
Erik van StratenErikvanStraten@todon.nl
2026-03-08

Excellent!

Big Tech *DELIBERATELY* made it impossible for most people to distinguish between real and fake websites - because of greed (renting more domain names and low budget hosting to anonymous cybercriminals).

Also from the article (bleepingcomputer.com/news/lega):

"The case involved phishing fraud, where the customer advertised an item for sale on an auction platform, and was approached by a fraudster who sent them a malicious link to a page resembling the bank’s login interface.

The customer entered their bank account credentials on that site, which the fraudster then used to execute an unauthorized payment."

#BigTechIsEvil #GoogleIsEvil #Phishing #Fraud #OnlineBanking

EU court adviser says banks must immediately refund phishing victims By Bill Toulas March 8, 2026 11:25 AM EU court adviser says banks must immediately refund phishing victims Athanasios Rantos, the Advocate General of the Court of Justice of the EU (CJEU), has issued a formal opinion suggesting that banks must immediately refund account holders affected by unauthorized transactions, even when it's their fault. [...]
Erik van StratenErikvanStraten@todon.nl
2026-03-07

@pascaline : domeinnaamspeculatie is een gigantische, onfrisse en deels ronduit criminele industrie.

Het lijkt er zelfs sterk op dat sommige domeinnaamboeren op de gok domeinnamen registreren om ze met winst te kunnen "verkopen" (feitelijk verhuren).

Bovendien worden voor phishing misbruikte domeinnamen door die boeren "witgewassen" (zorgen dat ze van zwarte lijsten verdwijnen, o.a. gebruikt door virusscanners). Soms worden onzinnige subdomeinnamen geregistreerd (zie security.nl/posting/781057) waar niet-kwaadaardige content op wordt gezet.

Bovendien interesseert het de meeste domeinnaamboeren niet of zij domeinnamen aan nette mensen of aan (anonieme) cybercriminelen verkopen.

Vorig jaar schreef ik (in todon.nl/@ErikvanStraten/11532 en vanaf security.nl/posting/907704) over de nepwebsite

mijn-kpn․info

die heel lang actief is gebleven. Ook in 2021 was die site actief.

Ondertussen is deze ondergebracht bij een domeinnaamparkeerder (zie de screenshot). Zodra deze domeinnaam is witgewassen, zal deze vast weer worden ingezet voor phishing.

N.b. pagina's zoals hieronder kunnen naar nepsites verwijzen en/of je proberen te verleiden om kwaadaardige software te installeren.

@StellaQuasten

#Phishing #DomeinNaamSpeculatie #BigTechIsEvil #InternetIsZiek #DomeinNamen #DomeinNaam

Op de website zijn nu 5 verwijzingen naar advertenties te zien voor respectievelijk: 10 BEST ASTHMA MEDICATION SKIN RASHES THAT LOOK LIKE ECZEMA CONSTANT FEELING OF INDIGESTION HOW TO TREAT SCALP PSORIASIS SPINAL MUSCULAR ATHROPY CAUSES
Erik van StratenErikvanStraten@todon.nl
2026-03-01

Phishing herkennen (draadje met screenshots)

Eind van de middag ontving ik een phishing e-mail met als afzender:

🔹Mijn Belastingdienst <info@dividendsgrowth.com>

Vooral e-mailprogramma's op smartphones laten slechts "Mijn Belastingdienst" zien. Check altijd het werkelijke afzenderadres!

Het onderwerp van de e-mail luidde:

🔹Aangifte Inkomstenbelasting 2026 - Noodzakelijke Aanvulling

In de lange mail zat een blauwe knop "Verbind hier veilig uw gegevens". De link "onder" die knop luidde:

🔹storage.googleapis.com/ - gevolgd door een lange reeks cijfers en letters.

Dat is duidelijk géén link naar een pagina van belastingdienst.nl.

Toen ik die volledige link opende verscheen kortstondig een pagina met een draaiende groene cirkel, waarna onderstaande pagina opende. Merk op dat de domeinnaam (website-naam):

🔹inloggen-mijn-dienst․com

niet hetzelfde is als exact "belastingdienst.nl" (of een subdomein daarvan, zoals "mijn.belastingdienst.nl"). Laat u niet foppen!

#Phishing #Belastingdienst #BigTechIsEvil

Nep-pagina die sterk lijkt op https://mijn.belastindienst.nl met een knop "Inloggen op Mijn Belastingdienst"
Erik van StratenErikvanStraten@todon.nl
2026-03-01

The internet is being destroyed by capitalist big tech.

The Norwegian Consumer Council has delved into enshittification and claims to have found ways how to resist it: forbrukerradet.no/breakingfree/.

Source (Dutch): security.nl/posting/926549/Org.

#BigTechIsEvil #GoogleIsEvil #CloudflareIsEvil

Executive summary Digital products and services are steadily becoming worse. Software becomes increasingly difficult and frustrating to use, websites and apps are littered with ads and spam content, and useful features are removed, degraded, or made subscription-only. This is part of a process called enshittification. Enshittification happens in stages: First a company attracts users by providing a valuable service, often seemingly for free or at an artificially low price. The company then exploits those users to draw in business customers, and finally abuses its business customers and claws back all the value for itself and its shareholders. Enshittification is the result of a dysfunctional market, where companies have been able to get away with mistreating and exploiting consumers Consumers are trapped in digital services, potential competitors are shut out, and policymakers and regulators are unable or reluctant to clamp down on anticompetitive, illegal and otherwise abusive behavior. In practice, a handful of tech companies have become so powerful that they do not have reason to fear any consequences. Although enshittification has spread to everything from social media platforms to connected fridges, it is not a natural law. Much of what is needed to prevent enshittification is already there: the lawS need enforcing though. The path we are on can be challenged and reversed - we can have a better digital world. [truncated - text too long to fit here]
Erik van StratenErikvanStraten@todon.nl
2026-02-27

@Vanstra : zoals ik schreef in todon.nl/@ErikvanStraten/11614 moeten we stoppen met de pappen-en-nathouden mentaliteit.

Ofwel losgeld betalen verbieden (op straffe van faillissement bij ontdekking, wat ertoe zal leiden dat afpersers kunnen blijven afpersen), ofwel zeer zware boetes na onnodig grote datalekken - of beide.

Daarnaaast internet veiliger maken. Lastig, want Big Tech wil dat niet.

#DataLekken #Aanpak #BigTechIsEvil

@burne

Erik van StratenErikvanStraten@todon.nl
2026-02-27

@Matthijs85 : en met mijn NoScript instellingen krijg ik het onderstaande te zien na het invoeren van mijn (door Odido gelekte) e-mailadres.

Het is alsof je je moet uitkleden om te kunnen internetten.

#InternetSucks #BigTechIsEvil #CloudflareIsEvil #USisEvil #USAisEvil

Cloudflare zit tussen mijn browser en de echte haveibeenpwned.com website. Cloudflare wil alles van iedereen weten. Het is alsof je je moet uitkleden om te kunnen internetten.
Erik van StratenErikvanStraten@todon.nl
2026-02-10

Malicious 7-Zip site distributes installer laced with proxy tool
bleepingcomputer.com/news/secu

Website "hosted" (actually proxied) by Cloudflare: virustotal.com/gui/url/868c736

Latest website certificate provided by "Google Trust Services": see crt.sh/?id=23961794049

#CloudflareIsEvil #GoogleIsEvil #BigTechIsEvil

Cloudflare protects https://www.7zip dot com
Erik van StratenErikvanStraten@todon.nl
2026-01-08

@spamhaus : made possible by Cloudflare and Google

#CloudflareIsEvil #GoogleIsEvil #BigTechIsEvil

Screenshot of a section of the expanded list of "Passive DNS Replication" in https://www.virustotal.com/gui/ip-address/104.21.65.130/relations On Dec. 7, 2025, Virustotal found that the domain name (server name) "spamhausfuckyour.mom" resolved to IP address 104.21.65.130 and to (not visible here) 172.67.145.126. Both are owned by Cloudflare. A number of other domain names can be seen, mostly pathetic while part of them is considered malicious by one or more virus scanners.Screenshot from part of https://www.virustotal.com/gui/domain/spamhausfuckyour.mom/details At the top can be seen that Cloudflare DNS servers return two IP addresses: 104.21.65.130 and 172.67.145.126. The bottom reveals that "Google Trust Services" issued the https certificate for "spamhausfuckyour.mom" on 2025-12-06 23:21:16.
Erik van StratenErikvanStraten@todon.nl
2025-12-09

@urldna : big tech cares shit

crt.sh/?q=roblox.com.ml

#BigTechIsEvil #LetsEncryptIsEvil #GoogleIsEvil #SectigoIsEvil #DVcerts #DVcertsAreEvil

Screenshot of https://crt.sh/?q=roblox.com.ml
Erik van StratenErikvanStraten@todon.nl
2025-12-09

@urldna : internet has become a lawless minefield

virustotal.com/gui/ip-address/

#CyberCrime #BigTechIsEvil

Screenshot of the "Passive DNS Replication" section in https://www.virustotal.com/gui/ip-address/179.43.188.90/relations
Erik van StratenErikvanStraten@todon.nl
2025-12-05

@joern

blog.sicuranext.com/68-of-phis

#CloudflareIsEvil #GoogleIsEvil #BigTechIsEvil

Erik van StratenErikvanStraten@todon.nl
2025-12-03

@chazh : one of the partners in crime. Lots of DV certificates for Cloudflare proxies are issued by "Google Trust Services".

infosec.exchange/@_r_netsec/11

@cendyne @soatok

#BigTechIsEvil #CloudflareIsEvil #GoogleIsEvil

Erik van StratenErikvanStraten@todon.nl
2025-12-03

@chazh :

100% security is impossible. But it's bad and it's getting worse.

Fix:

1️⃣ Immediately after setting up an https connection (before downloading content), EVERY browser should warn people if they've never visited the site (exact domain name) before, if ownership of the domain name changed or upon any other risky anomaly.

2️⃣ The warning should include as much as possible information about:
• the current owner of the domain name;
• if such info is available, the *reliability* of that info.

3️⃣ Depending on said info, the user is informed about the risks they take when deciding to "trust" the website and opening it (thereby adding it to their "visited before" list).

4️⃣ User education is very important, at the very least browsers should provide easy to understand tutorials.

5️⃣ The current (corrupt) CAB/forum needs to be replaced by an organizations with end-user participation.

Google in particular does not want that. They don't want internet users to be able to easily distinguish between authentic and junk websites. Scamsites are part of their business model.

@cendyne @soatok

#BigTechIsEvil #GoogleIsEvil #CloudflareIsEvil

Erik van StratenErikvanStraten@todon.nl
2025-12-03

@chazh
> "You’re very angry that passkeys don’t close HTTPS cert-shaped holes. But neither do password managers or anything else in a browser."

No. Instead, I'm very angry that big tech makes the internet less secure every day while first telling people to use 2FA to fix that (which was a lie) and now telling people to use passkeys to fix that (which is a lie).

Because people's accounts will keep getting compromised and/or they'll keep getting locked out of their accounts. It's one big hoax.

@cendyne @soatok

#BigTechIsEvil #GoogleIsEvil #LetsEncryptIsEvil #CloudflareIsEvil #AmazonIsEvil #MicrosoftIsEvil #AppleIsEvil

A fake website asking for user-ID, password and (2FA) TOTP code framer.ai (and framer with a lot of other TLD's) uses a cert that is valid for *.framer.ai - including malicious websites that do not even exist yet.
Erik van StratenErikvanStraten@todon.nl
2025-12-03

@cendyne : https certs are in the chain of trust.

If they are issued to the wrong sites, passkeys fail.

Note that I will NOT login to my bank (using a passkey or whatever) if it suddenly has a junk LE DV cert (soon valid for 45 days without OCSP), because I expect a decent certificate.

Why don't passkeys enforce AT LEAST an OV (Organization Validated) certificate?

@soatok

#BigTechisEvil #LetsEncryptIsEvil #GoogleIsEvil

Erik van StratenErikvanStraten@todon.nl
2025-11-24

R.I.P. Windows

#RIPwindows #RIPmicrosoft #BigTechIsEvil

Screenshot from the top of https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-11-24h2-bug-crashes-key-system-components/ Microsoft: Windows 11 24H2 bug crashes Explorer and Start Menu By Sergiu Gatlan November 24, 2025 05:41 AM 0 [Image: Windows logo + text: "Windows 11"] Microsoft has confirmed a critical Windows 11 24H2 bug that causes the File Explorer, the Start Menu, and other key system components to crash after installing cumulative updates released since July 2025.

Client Info

Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst