TL;DR — Твои реальные имя, адрес и номер телефона публикуются в WHOIS каждый раз при регистрации домена — если ты не откажешься. Сталкеры, мошенники и конкуренты скрейпят эти данные ежедневно, и цена за раскрытие асимметрична: они получают всё, ты теряешь контроль.
Маркетолог регистрирует домен для стартапа-побочного проекта. Через две недели конкуренты звонят на её личный мобильный. Журналистка регистрирует домен для расследования. За несколько дней объект её расследования получает её домашний адрес. Создательница OnlyFans использует своё настоящее имя на домене. Сталкеры появляются у входа в её квартиру.
WHOIS — это публичная база данных. Каждая регистрация домена включает контактные данные зарегистрированного владельца — имя, email, телефон, физический адрес. Если ты не откажешься явно, эта информация доступна для поиска кому угодно с доступом в интернет. Без ордера. Без обоснования. Просто запрос в командной строке или форма на сайте.
Модель угроз — это не преступники, а все остальные
Большинство регистраторов продают защиту WHOIS как страховку от «киберпреступников». Неправильная постановка. Реальная модель угроз гораздо шире и приземленнее:
Фирмы конкурентной разведки скрейпят WHOIS, чтобы сопоставить корпоративную инфраструктуру, выявить побочные проекты и отследить поглощения до их объявления. Твой скрытный стартап перестаёт быть скрытным в момент регистрации домена.
Спир-фишинговые операции собирают email зарегистрированных владельцев, чтобы рассылать целевые атаки. Email от «твоего регистратора» о проверке EPP-кода выглядит правдоподобнее, если атакующий знает, что ты регистрировал домен на прошлой неделе.
Доксеры и кампании преследования используют WHOIS как первый шаг. Геймеры, политические активисты и секс-работники подвергаются целевому преследованию непропорционально часто. Один разоблаченный домен связывает твою онлайн-идентичность с юридическим именем и физическим адресом.
Боты для проспектирования продаж генерируют автоматическую рассылку в момент появления нового домена в лентах WHOIS. Ты регистрируешь cool-startup.com и получаешь пятьдесят писем с предложениями дизайна логотипа, SEO-услуг и хостинга в течение 24 часов.
Юридические угрозы и DMCA-тролли используют WHOIS для выявления целей. Даже если претензия безоснователна, публикация твоей реальной контактной информации означает, что именно ты будешь иметь дело с заказными письмами и предложениями мирового соглашения.
Общая черта: ни одному из этих субъектов не нужно ничего взламывать. Данные лежат там, нормализованы, машиночитаемы, обновляются ежедневно.
«Мне нечего скрывать» — неправильный вопрос
Приватность — это не о скрывании проступков. Это об управлении асимметрией информации.
Когда ты публикуешь свои контактные данные, ты делаешь одностороннее раскрытие. Другая сторона — кто бы она ни была — узнаёт твоё юридическое имя, местоположение, паттерны email, номер телефона и связи с организациями. Ты не узнаёшь о них ничего. Они могут выбирать, когда и как с тобой связаться. Ты не можешь отказаться постфактум.
Рассмотри ставки:
| Ты получаешь | Они получают |
|---|---|
| Ничего (данные уже были твои) | Полный досье для контактов, исследования или целевого воздействия |
| Маргинальный «кредит прозрачности» (редко ценится) | Способность связать владение доменом через несколько проектов |
| Соответствие устаревшим нормам | Постоянный идентификатор, переживающий смену email и псевдонимов |
Риск асимметричен. Раскрытие стоит тебе приватности, безопасности и рычагов. Выгода теоретична и в основном достаётся третьим лицам.
Даже если ты запускаешь легитимный бизнес с публичным сайтом, нет причины передавать спаммерам и сталкерам структурированный датасет с твоим личным номером телефона. Выставь контактный email на сайте, если хочешь входящую коммуникацию. Не публикуй свой домашний адрес в глобально реплицируемой базе данных.
Как защита WHOIS фактически работает
Защита WHOIS — также известная как приватность домена или прокси-регистрация — заменяет твои личные данные контактной информацией регистратора (или сервиса-проксиси) в публичной записи WHOIS. Реестр всё ещё имеет твои реальные данные для целей соответствия, но они не транслируются в интернет.
В bunkerdomains защита WHOIS бесплатна и включена по умолчанию. Никаких доплат. Никаких чекбоксов, спрятанных в настройках аккаунта. Ты предоставляешь email для восстановления аккаунта и EPP-коды. Этот email не появляется в WHOIS. Если кто-то запросит информацию о твоём домене, они увидят:
Registrant Organization: REDACTED FOR PRIVACY
Registrant Email: privacy@bunkerdomains.com
Registrant Phone: +000.0000000
Registrant Address: REDACTED FOR PRIVACY
Если требуется контакт, предписанный ICANN (редко), мы его обработаем. Тебя не раскроют только потому, что кто-то подал ложный UDRP.
Что защита не охраняет
Защита WHOIS скрывает твои данные от публичных запросов. Она не:
- Останавливает правоохранителей с валидным субпеной (регистраторы хранят реальные данные для соответствия)
- Предотвращает утечки, если твой регистратор будет взломан или продаст базу клиентов
- Скрывает факт существования домена или его nameservers/IP-адресов
- Затемняет информацию, которую ты публикуешь в другом месте (SSL-сертификаты, DNS TXT-записи, подвалы сайтов)
Если твоя модель угроз включает государственных акторов или ты нарушаешь законы в своей юрисдикции, защита WHOIS необходима, но недостаточна. Тебе также нужна анонимная оплата (крипто), анонимный email (не Gmail) и регистратор, который не сотрудничает с внесудебными запросами.
Мы не отвечаем на DMCA-уведомления. Мы не передаём данные без судебного приказа в нашей юрисдикции. Мы не требуем реальные имена или проверку ID.
Большинство регистраторов берут плату — или утекают данные в любом случае
Крупные регистраторы рассматривают защиту WHOIS как центр прибыли. Они берут $10–20 в год за домен за сервис, который стоит им примерно ноль. Некоторые «включают» её в первый год, потом авто-продлевают по более высокой ставке. Другие исключают для некоторых TLD (.us, .ca, .eu), где реестр запрещает контакты прокси.
Ещё более коварно: даже регистраторы, предлагающие «бесплатную» защиту WHOIS, утекали данные клиентов через:
- Сервисы переадресации email, которые сохраняют заголовки
Received:с твоим реальным адресом - Базы истории WHOIS, которые архивируют записи до включения приватности
- Партнёрские программы, где твоя регистрация запускает соглашения о обмене данными для «предложений партнёров»
- Лазейки GDPR, где «законный интерес» используется для оправдания раскрытия контактов претендентам на торговые марки
Каждый раз, когда регистратор просит твоё реальное имя, номер телефона и адрес при оплате, спроси: зачем? Реестру это не нужно. Требования ICANN удовлетворяются хранением записей, не их публикацией. Регистратору нужны данные для CRM, апселлинга и перепродажи.
В bunkerdomains:
- Реальное имя не требуется (подойдёт алиас)
- Проверка телефона не требуется (если ты не выберешь SMS 2FA)
- Физический адрес не собирается (даже для биллинга — только крипто)
- Переадресация, которая не утекает метаданные
- Бесплатная защита WHOIS на каждом TLD, который мы поддерживаем
Практические сценарии угроз
Сценарий 1: Журналистка регистрирует домен расследования
Репортёр, работающий над разоблачением корпоративного злоупотребления, регистрирует mega-corp-investigation.com для организации документов источников и настройки защищённого дропа. Она использует своё реальное имя у мейнстримного регистратора. WHOIS публичен.
За неделю юрфирма целевой компании отправляет допубликационное юридическое предупреждение на её личный email, копируя редактора. Само имя домена их подсказывает. Её физический адрес — указанный в WHOIS — появляется в материалах для раскрытия месяцы спустя, когда компания подаёт в суд.
Решение: Регистрируйся анонимно. Используй регистратор, который не складывается при первом контакте. Не используй имя домена, которое сигналит о твоём расследовании преждевременно (или используй его как canary).
Сценарий 2: Крипто-разработчик переходит на новый проект
Разработчик выходит из DeFi-протокола и начинает строить конкурента. Он регистрирует new-protocol.io на своё реальное имя. Инвесторы и старая команда скрейпят WHOIS, определяют его и упреждающе подают pitch или юридические угрозы по non-compete.
Проект не тайна — он в GitHub. Но раскрытие владения до публичного запуска отдаёт конкурентам стратегический интел и меняет динамику переговоров.
Решение: Анонимная регистрация. Используй имя организации или алиас. Контролируй время публичного раскрытия.
Сценарий 3: Творец взрослого контента использует реальную идентичность
Независимая исполнительница регистрирует домен для платного контента. Её реальное юридическое имя и домашний адрес появляются в WHOIS. Подписчик делает обратный поиск домена, находит её инфо и начинает появляться у её дома.
Это не гипотетика. Это случается. WHOIS-базированное преследование — обычное дело в индустриях, где исполнители используют псевдонимы профессионально, но регистрируют домены под юридическими именами, потому что «форма об этом просила».
Решение: Никогда не используй юридическую идентичность для доменов, связанных с работой, где ты псевдонимна. Анонимный регистратор. Крипто-платёж. Алиас везде.
EPP-код — единственный секрет, который имеет значение
Защита WHOIS скрывает твои контактные данные. Но владение доменом контролируется EPP-кодом (кодом авторизации, трансфер-ключом). Это пароль, который позволяет перемещать домен между регистраторами.
Большинство регистраторов отправляют EPP-код на адрес зарегистрированного владельца. Если WHOIS публичен и кто-то социально инженерит твой регистратор, они могут запросить трансфер и перехватить код. Даже если WHOIS приватен, регистратор, требующий твой реальный email для «верификации», создаёт единую точку компрометации.
В bunkerdomains EPP-коды идут на твой email аккаунта. Не публикуются. Не разделяются. Ты можешь регенерировать коды из дашборда. Без тикета поддержки, без верификации ID, без звонка, чтобы «подтвердить твою личность».
Если ты потеряешь доступ к email аккаунта и у тебя нет кодов восстановления 2FA, твой домен потерян. Мы не можем помочь. Это цена за то, чтобы не собирать реальные данные о личности. OPSEC — это твоя ответственность.
Когда анонимная регистрация требуется, а не опциональна
Тебе нужна анонимная регистрация домена, если:
- Твоя модель угроз включает преследование или доксинг. Активисты, журналисты, разоблачители, секс-работники, спорные художники, стримеры, которые рассердили не тех людей.
- Ты строишь скрытую инфраструктуру. Стартапы, проекты исследований, крипто-протоколы, тёмные маркеты (юрисдикции варьируются — мы не твой адвокат).
- Ты в юрисдикции с нестабильным правопорядком. Публикация своего реального имени и адреса в глобально доступной базе — приглашение государственным или негосударственным акторам применить давление.
- Ты работаешь в серых зонах. Взрослый контент, CBD, ноотропы, рынки предсказаний, инструменты приватности — индустрии, где процессоры платежей и платформы дерегулируют произвольно.
- Ты просто устал от спама. Серьёзно. Регистрация домена не должна означать, что твой номер телефона попадает на пятьдесят лид-ген листов.
Ты не должен оправдывать свою приватность перед нами. Мы не спрашиваем. Мы не судим. Мы не отвечаем на злые письма от людей, которые думают, что твоему домену не быть.
Базы данных WHOIS были разработаны в эру, когда интернет состоял из нескольких сотен академических учреждений. Публикация контактных данных имела смысл для малого, высокодоверительного сообщества. Этот мир уже прошёл. Сегодня WHOIS — это инструмент доксинга с органом стандартизации. Вопрос не в том, «почему регистрировать анонимно» — он в том, «почему ты когда-либо публикуешь свой домашний адрес в базе, разработанной для массового скрейпинга?» Ответ мы уже знаем: потому что твой регистратор не дал тебе выбора, или взял за это плату, или усложнил процесс. Пропусти банк, плати крипто и перестань раздавать свою контактную инфо незнакомцам.