Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Adresgegevens waren in te zien via PostNL bij retourzendingen webshops

PostNL heeft een wijziging aan zijn website doorgevoerd waardoor het niet meer mogelijk is om de voornaam en adresgegevens van klanten van webshops op te vragen door een getal in de url te veranderen. Deze mogelijkheid bleek te bestaan bij retourzendingen.

De mogelijkheid om de zogenaamde 3S-code van een zending in de PostNL-url aan te passen werd opgemerkt door een oplettende tweaker, die hier twee dagen geleden melding van maakte. Hij kwam erachter dat het aanpassen van de url mogelijk was bij een retourzending naar Zalando. De webshop gebruikt voor alle retourzendingen dezelfde postcode voor het bezorgadres, waardoor de enige onderscheidende factor tussen de zendingen de 3S-code van PostNL is.

Door de waarde van die code in de url bijvoorbeeld steeds met één cijfer te verhogen, was het mogelijk om de voornaam en adresgegevens van andere klanten van de webshop te achterhalen en zo in principe de gegevens van een groot aantal personen te verkrijgen. De url ziet er als volgt uit: /track-en-trace/3S-code/NL/postcode. Zalando laat in een reactie weten dat 'de gegevens en de veiligheid van zijn klanten essentieel zijn' voor het bedrijf.

Een woordvoerder van PostNL zegt dat het inmiddels niet meer mogelijk is om op de beschreven manier gegevens in te zien. Er wordt nu alleen nog een code in plaats van de naam getoond en ook de adresgegevens zijn weggehaald. Dit geldt niet alleen voor Zalando, maar ook voor andere webshops die met hetzelfde verschijnsel te maken hadden. PostNL laat weten de desbetreffende webshops op de hoogte te hebben gesteld.

Ook heeft het bedrijf melding gedaan bij de Autoriteit Persoonsgegevens. Er zouden geen aanwijzingen zijn dat er misbruik is gemaakt van de mogelijkheid.

Situatie voor de wijziging (links) en na. De zwarte blokken dekken naam en adresgegevens af.

Door Sander van Voorst

Nieuwsredacteur

07-06-2018 • 15:09

101 Linkedin Google+

Submitter: sylvesterrr

Reacties (101)

Wijzig sortering
Ik moet zeggen dat ik ook mijn vraagtekens zet bij het systeem van pakket- ophaal punten. Ik had mijn pakje laten afleveren bij zo'n postnl/dhl etc ophaalpunt (soms een drogisterij of electronica zaak)
Je zegt dat je een pakje komt afhalen en je moet je dan uiteraard legitimeren.. In dit geval pakte de man achter de toonbank een PostNL systeem om mijn barcode in te scannen. Ik kon meekijken en bij het geven van mijn naam zocht hij naar mijn persoonsgegevens in dat systeem.. Ik zag hoe hij al swipend langs allerlei ingescande persoonsdocumenten ging van wildvreemde personen! Rijbewijzen, ID kaarten, paspoort kwamen voorbij met een simpele swipe. Gewoon handig op alfabet gezet.. Ik dacht WUT? Waarom mag zo'n privaat persoon zo bij al die gegevens komen? Verder leek het er ook sterk op dat hier ook geen inlog aan vast zat (of ik moet dat gedeelte net gemist hebben) maar dat kan toch niet?
De vraag is eerder waarom mag men kopie hebben van jou id bewijs ?
Voor het afhalen van een zending moet je je legitimeren en kijkt men of naam overeenkomt met de geadresseerde. zo ja zending mee zo niet geen zending.
Het enige dat misschien mag is nummer van je document in het systeem zetten, maar kopie maken mag helemaal niet.
Kopie maken mag inderdaad niet. De NL overheid heeft een app waarmee je BSN wordt afgeschermd, KopieID. De app is er voor iig iOS, Android, en Windows.
Foto gemaakt van paspoort, helaas eerder slachtoffer geweest van id fraude .Vandaag door mijn uitzendbureau gevraagd dat bsn zichtbaar moet zijn. Kijken mij heel vreemd aan waarom ik zo erg argwanend ben.

[Reactie gewijzigd door FireSheep op 7 juni 2018 18:05]

Dat vroeg een uitzendbureau aan mij ook, in 2015. Ze accepteerde niet een digitale kopie waarop het een en ander afgeschermd was en moesten per se een onbewerkte kopie hebben. Ik heb ze toen laten weten dat ze een hardcopy mogen komen maken maar dat ik niet wil dat deze digitaal verwerkt wordt. Hier is nooit een reactie op gekomen 8)7

Overigens mag je werkgever volgens mij wel een kopie van het BSN gedeelte maken van wat ik mij toen herinner. Ik had alleen duidelijk op de digitale kopie gezet dat het een kopie betrof voor het uitzendbureau met daarop ook de datum van de kopie. Daarnaast had ik een soort van watermerk verstopt.
Een uitzendbureau is ook een werkgever en moet een goed leesbare kopie bewaren:

https://www.rijksoverheid...an-de-identificatieplicht
U moet een duidelijke kopie maken van het identiteitsbewijs. Documentnummer, pasfoto en burgerservicenummer (BSN) moeten goed leesbaar zijn. U bewaart deze kopie in uw administratie voor eventuele controles, bijvoorbeeld door de Inspectie SZW. U moet de kopie bewaren tot minstens 5 jaar na het kalenderjaar waarin de werknemer uit dienst is gegaan.
Zij hadden dus gewoon gelijk.
Mijn kopie voldeed aan al die eisen. Er waren geen gegevens afgeschermd die nodig waren (documentnummer, pasfoto en BSN). Er stond alleen ook duidelijk overheen dat het een kopie was voor het uitzendbureau, met de datum waarop de kopie gemaakt was. Volgens mij voldoet dat prima. Overigens heb ik tegen het fysiek opslaan geen probleem, maar het digitaal verwerken wel.
Bij de ophaal punten hier in de buurt hoef je je enkel te legitimeren. Men kijkt of jij jij bent en handigt je dan het pakketje over. Ik heb nog nooit mijn ID kaart uit handen hoeven geven. De enige momenten waar ik mijn ID kaart zelf niet in bezit had was voor kopietjes bij werkgevers of agenten die je staande houden. De rest fuck et, ik weiger hem ook los te laten. Ze hebben wettelijk toch geen poot om op te staan om je ID te eisen :)

Enige vreemde tot nu toe is dat in ik in plain tekst email een aantal keer mijn BSN nummer heb moeten doorgeven aan mijn gemeente om te verifieren dat ik ook ik was.

Ik zou toch leuk melding maken bij de AP over je afhaalpunt, wat ze doen is gewoon verboden en staan hoge boetes op.
De rest fuck et, ik weiger hem ook los te laten. Ze hebben wettelijk toch geen poot om op te staan om je ID te eisen :)
Het wordt natuurlijk wel een gedoe als je dan je pakketje niet krijgt.
Vaak is scannen luiheid. Men scant om zich in te dekken tegen overschrijffouten en als bewijs dat ze het hebben gezien.
Dan kies je een ander afhaalpunt? Afhankelijk van waar je woont misschien makkelijker gezegt dan gedaan.

Dat het document nummer genoteerd wordt is niet zo apart, niet verboden ook. Dat is afdoende om je in te dekken als afhaalpunt. Al het overige is gewoon verboten. Hoef je je ID ook niet voor uit handen te geven en hoeft er zeer zeker niets gescant of gekopieerd te worden.

Hoe goed denk je dat die systemen beveiligd zijn? Vooral bij een winkel wat al zo nalatig of laks bezig is.

Wat ze doen is zviw gewoon verboden en staan er hoge boetes op. Licht de zaak in of meld het bij het AP.
Dan kies je een ander afhaalpunt?
Indien de mogelijkheid tot kiezen bestaat. Bij mislukte bezorging wil men het hier nog wel eens bij een of andere Primera afgeven als ophaalpunt. Die zal ik uiteraard van repliek dienen als het nogmaals gebeurt, zeker nu er een wet actief is geworden.
Je zou hier melding van moeten maken. Ik kan me niet herinneren dat mijn rijbewijs ooit ingescand is bij het PostNL afhaalpunt bij mij in de buurt. Wellicht zijn ze daar met andere zaken bezig dan waar PostNL ze toe verplicht.
Toen ik m'n pakketje ophaalde bij de Spar (ophaalpunt van bepaalde pakketten) moest ik inderdaad een geldig identiteitsbewijs tonen. Deze werd toen gescand. Had eigenlijk moeten vragen waarom.
Voor welke bezorgdienst werkt Spar? Zowel bij PostNL agentschappen, UPS agentschappen en Bol.com bij AH hoef je alleen maar je ID te laten zien. Doen ze verder niks mee.
Het pakketje kwam vanuit België met BPD dacht ik. Dat is overhandigd aan PostNL.
Bij PostNL afhaalpunten wordt altijd de barcode van mijn rijbewijst gescand. Met andere kom ik minder, dus daar kan ik niets over zeggen
Bij de Bruna scannen ze altijd je rijbewijs als je een pakket komt ophalen.
kan het zijn dat deze bewijzen in het systeem waar langs geswipet werd (nep)voorbeelden zijn van geldige documenten zodat ze die kunnen vergelijken op geldigheid? Kan me voorstellen dat een medewerker niet alle type bewijzen uit het hoofd kent en ze zo geholpen worden.
Staat er in dat geval niet zoiets als SPECIMEN overheen.?
Nee leuk geprobeerd maar dat zijn geen bewijzen dat zijn voorbeelden. Denk dat je niet helemaal goed meekeek en aannames had.
Je hebt kennelijk vragen hierover en het beste waar je dan mee kunt beginnen is gewoon vragen bij het ophaalpunt wat ze doen als je barcode gescant wordt. Wellicht heb jij iets verkeerd gezien, of goed gezien en verkeerd geinterpreteerd.

Zelf was ik verbaasd dat de kassiere bij de AH mijn rijbewijs aanpakte en dingen in begon te tikken. Ik ben verhaal gaan halen en het bleek dat de kassiere mijn geboortedatum overtikte in een rekenhulp om te kijken of ik alcohol mag kopen. Onschuldig dus, maar de beeldvorming was anders. Vooral vreemd omdat ik geboren ben in de jaren 80 en alleen de 8 dus al genoeg aanleiding moest geven om me alcohol te kunnen verkopen.
wat je hier boven beschrijft kan ik mij niet herinneren van de tijd dat ik pakjes aannam voor postnl. Dat je de paspoorten zo in kon zien. Wat ik mij wel herinner is dat je wel een inlogcode had, maar elke medewerker wist dat nummer wel. Wij konden volgens mij niet zo swipen en alles zien.
Hier typen ze ook je ID of Rijbewijs nummer in hun systeem :/
Ik heb zelf gewerkt in een winkel die DHL afhaalpunt was, en het enige wat ik moest doen was het ID nummer of rijbewijs nummer ingeven in het systeem, er werden zeker geen foto's gemaakt.
Ja dat vind ik wel vreemd. In het verleden keken ze alleen kort naar mijn identiteitskaart om die te controleren, nu deden ze er langer over voordat ik mijn handtekening mocht zetten. Dat zou ook gewoon toeval kunnen zijn, maar het is moeilijk om te zien of zij een id bewijs overtypen of scannen achter de toonbank of niet.

[Reactie gewijzigd door Ketho op 7 juni 2018 20:26]

Dus het enige dat je hiermee kon zien was dat iemand op adres X ook een retourzending had? Wat het precies is kun je niet zien, enkel het gewicht en de afmetingen. Het is natuurlijk niet netjes maar tegelijkertijd ook absoluut niet het einde van de wereld.
Zalando stuurt met iedere bestelling een retourlabel mee. Je retourzending staat dus in het systeem van PostNL, of je daar wel of geen gebruik van maakt. De naam en adresgegevens van alle Zalando-klanten lagen hierdoor op straat.
Punt is dat je naam en adresgegevens kan bemachtigen, en dát is natuurlijk op zich al uit den boze.
Anders sla je een telefoonboek open (papier of digitaal), en hoppa met telefoonnummer...
Jep je kan ervoor kiezen om daar geen vermelding in te hebben, de meeste hebben dat dus gewoon lekker wel en niemand die daar wakker om ligt.
Maar nu zie je naast hun naam, adres en telefoonnummer in de telefoongids dus ook staan of iemand Zalando-klant is. ;)
Totdat ZALAND0.NL phishing mails gaat sturen aan die mensen om extra gegevens te bemachtigen natuurlijk. En mensen niet doorhebben dat het niet om Zalando gaat.
Want het email adres stond ook in de trace link?
Of hebben we t over de info uit de telefoongids? Tsja voor pishing is geen track en trace info voor nodig, alleen een database met email adressen.
SIDN (stichting voor .nl domein) wil eigenlijk ook dat je als domeineigenaar met naam, toenaam, adres, mailadres en telefoonnummer op internet staat en dat is gewoon procedure.
De meeste hostingboeren willen daar wel voor gaan staan voor je door in ieder geval adres en contact data te vervangen door hun adresdata maar dat is niet het idee van die registratieprocedure.

Het is slecht, maar ik zie geen vuur en zwavel uit de lucht komen vooralsnog.
Het telefoonboek is ook gewoon een ding waar je in staat tenzij je dat uit hebt gezet hé...
De meeste hostingboeren willen daar wel voor gaan staan voor je door in ieder geval adres en contact data te vervangen door hun adresdata maar dat is niet het idee van die registratieprocedure.
Dan heb ik het niet getroffen bij mijn hoster. Die vraagt 12,- per jaar voor "... Privacy Protect"
Met een mooi scriptje heb je zo een mooie database opgebouwed van iedereen die iets teruggestuurd heeft naar Zalando. Denk dat dit best waardevol kan zijn voor sommige bedrijven ;)
Voor iedere bestelling wordt een retourlabel aangemaakt. Je wist dus van iedereen die iets heeft besteld of die persoon iets heeft teruggestuurd. :P

PostNL heeft een leuke API die JSON uitspuugt: https://jouw.postnl.nl/we...3SEAGK014290001-NL-5140WR 'Sender' staat nu netjes op null, maar daar stonden dus de naam en adresgegevens. :)
En dan zie je dat iemand iets retour heeft gezonden? Dat heet gewoon gebruik maken van je recht, retourrecht. Wat is daar dan waardevol aan?
Ik denk dat als ik een kleding webshop ben, ik best geld over zou hebben voor een bestand met NAW gegevens van een heleboel zalando klanten zodat ik ze mooi een geadreseerde folder kan sturen met aanbeidingen.
Dit is de enige concrete reden die ik hier heb gelezen waarom dit een probleem zou zijn :)
Het gaat er niet om of iemand wat heeft geretourneerd. Bij iedere bestelling wordt een retourlabel (met bijbehorend 3S-nummer) gegenereerd. Je kon dus de naam en adresgegevens van alle klanten die iets hebben besteld inzien, en zelfs hoe vaak (als je je database blijft updaten). Verder kon je dus ook zien of iemand iets heeft teruggestuurd.

Zie ook sylvesterrr in 'nieuws: Adresgegevens waren in te zien via PostNL bij retourz... .
Ik vraag mijzelf af hoe je dit wilt misbruiken...
Kwaadwillenden die zich uitgeven voor bijv. een Zalando (vanwege voorbeeld in de screenshot) en zo een aanmaning in de bus doen?
maar je hebt een track and trace code. Als je Post NL opbelt (of deze ff opzoekt op www) kan die vertellen of het pakket afgeleverd is. Ik denk niet dat je daarmee veel kan verdienen.
True, maar het zou je verbazen hoeveel mensen daar nog in trappen.
Als ze van de 100 brieven bij 1 bingo hebben is het al mooi meegenomen.
True, maar het zou je verbazen hoeveel mensen daar nog in trappen.
Als ze van de 100 brieven bij 1 bingo hebben is het al mooi meegenomen.
Dat lijkt me een zeer optimistische schatting. Maar goed je begrijpt dat als je geld ontvangt je door de overheid makkelijk te vangen bent? Laat ik het zo zeggen, als er bij een aanmaning staat dat ik alleen met BC kan betalen moet ik erg lachen. En dan nog, gebruik een creditcard en je boekt het terug met een glimlach.

Al met al denk ik niet dat alleen tweakers die een hele hoop alufolie hebben liggen zich daar zorgen over maken. Sign of the time want tegenwoordig zijn tweakers wanhopig argwanend voor alles wat digitaal is.
Als je het slim doet, waardoor het alleen maar lijkt op een aanmaning van Zalando, maar het bij goed lezen een vriendelijk verzoek is om een donatie te doen, sta je al een stuk sterker. Wanneer je dan ook nog eens voldoet aan 'vriendelijke verzoeken' om geld terug te storten (zal maar in een beperkt aantal van de gevallen gebeuren). sta je nog sterker.
Ik denk dat hier weinig meer tegen te doen is dan een 'brief op poten' van Zalando met het verzoek om te stoppen met het gebruiken van beeldmerken die erg op die van Zalando lijken. (Tenzij ze er achter komen hoe je aan de adressen gekomen bent.)
'Hey, ik zie dabronsg, woonachter op straat X huisnr Y te Z, regelmatig wat besteld bij Zalando. Das interessant... Zal ik dan maar de brochures voor winkel Dalando, Malando en Jalando(met soortgelijke producten) aan hem versturen. Groot kans dat ik hem zo binnen kan halen als klant'.
Dus een klant die dingen retour stuurt is interessant voor je? Laat me raden, je hebt geen webshop. en je hebt zeker geen idee wat de kosten van dat soort dingen zijn. Wij verliezen gemiddeld 22 euro op een dergelijke klant.

Mocht ik een dergelijke database in handen krijgen en hem MOGEN gebruiken zou dat een lijst zijn van klanten waar ik niet aan wil leveren. Dat soort lijsten ZIJN in omloop overigens. Als je op een dergelijke lijst staat zal je vaak zien dat je transactie 'mislukt'.

Maar neem van mij aan dat dit lek nul en geen waarde heeft als klantenlijst. En om eerlijk te zijn, zelfs als je geen ervaring hebt in dit soort dingen had je kunnen weten dat klanten die iets terugsturen niet aantrekkelijk zijn.

Beetje off topic... PayPal doet tegenwoordig behoorlijk moeilijk als je regelmatig aankopen terug draait. In de US heeft dat soort dingen al een behoorlijke impact op je credit score maar ik weet met zekerheid dat dit in de EU ook gaande is. Visa etc is het zat dat mensen hun service als een try before you buy gebruiken en je moet er rekening mee houden dat terugboeken niet zonder gevolgen is.
Het gaat hier om retourlabels die automatisch worden aangemaakt voor elke bestelling. Ongeacht of de bestelling wel of niet geretourneerd wordt. Dat wordt juist gedaan om in het geval van retouren, de kosten te beperken (dan hoeft er geen actie ondernomen te worden om alsnog een retourlabel aan te maken.)
Moet je wel betere spullen leveren want het onderwerp is terugsturen van zooi die men toch niet wil hebben.

Malando, daar heb ik nog platen van.
Soms moet je gewoon creatief zijn. Je hebt de oplossing al, nu het probleem nog.
Vroeger keek je gewoon in een telefoonboek voor een naam en adres van iemand die je wilde bereiken, tegenwoordig kun je gewoon door steeds een andere URL op te vragen willekeurige adressen krijgen die je helemaal niet nodig hebt :)
Leve de vooruitgang! :+
Met als verschil dat je voor het telefoonboek een opt-in had bij het afsluiten van een PTT-abonnement.
Zelfs sekslijnen mochten worden opgenomen :+
Dat was zeker geen opt-in, maar een opt-out.

Iedereen kwam gewoon standaard in het telefoonboek terecht.
Tegenwoordig is het wel een opt-in. Vroegah niet.
Ja klopt, maar wij hadden het over vroeger. Bij de PTT Abonnement,
Eh nee, er was een opt-out. Maar, privacy was toen nog geen ding...
Met één klik een advertentie naar een onbeperkt aantal mensen sturen ook niet.

Als er geen misbruik van gemaakt zou worden dan zou het niet uitmaken of privé gegevens openbaar zijn, helaas is dat niet het geval.
Juist wel, alleen was je reach kleiner waardoor onderling vertrouwen groter was.
Hoezoo vroeger? nu zitten ze zelfs digitaal. (toch in BE) echt niet moeilijk om naam en adres van iemand op te zoeken.
https://www.wittegids.be
Als je dat vergelijkt is die veel erger. je kan zelfs gewoon van een bepaalde straat alle namen en adressen opzoeken. Als je daar op pad gaat met een bundeltje valse facturen heb je zeker beet bij de wat oudere mensen.
Vroeger keek je gewoon in een telefoonboek voor een naam en adres van iemand die je wilde bereiken,
Als je wist in welk telefoonboek je kijken moest.
tegenwoordig kun je gewoon door steeds een andere URL op te vragen willekeurige adressen krijgen die je helemaal niet nodig hebt :)
Telefoonboeken staan vol met namen en nummers die ik niet nodig heb. Altijd al.
Met als verschil dat je met een telefoonboek niet weet wie en wat die persoon gekocht heeft.

Erg triest dat ze er nu pas achter komen, maar het is gelukkig wel weer gefikst.
Hoe kan je je toch ook druk maken om dit soort kleinigheden A. staat het telefoonboek er ook vol mee B. het enige gegeven wat je extra hebt is dat iemand weet dat diegene iets bij Zalando heeft betaald samen met duizenden anderen. Staat los van het feit dat het niet netjes is, maar ik krijg wel het idee dat alles op dit moment wordt opgeblazen. Hetgeen weer contra productief werkt want echt ernstige zaken kunnen nu makkelijk uit het oog blijven.
Het is anders. Nu weet je de naam + adres + het feit dat ze bij Zalando besteld hebben. Met die combinatie zou je dus bijvoorbeeld brieven (of e-mails als je die uit een andere database plukt) kunnen sturen met het feit dat er nog een openstaand post is en die zouden willen voldoen op IBAN NL11OPLICHTER000.
Ja voordeel is dat je die brieven naar 20% van de nederlandse adressen kan sturen, nadeel is dat brieven sturen duur is en veel inspanning kost. Twee zaken waar oplichters een hekel aan hebben. Brieven van de regionaal favoriete energiemaatschappij levert meer op.
Hoeveel mensen onder de 35 staan nog in het telefoonboek?
En als je echt wilt kan je een scholier voor een paar euro per uur langs huizen lopen en alle NAW gegevens op laten schrijven....
Uhm, dit is toch bij design? Je kunt een zending ophalen door je postcode + tracktrace combinatie. Staat toch los van webshops danwel retourzendingen? Enige 'voordeel' is dat je weet dat er op een specifieke postcode veel zendingen binnen komen.

Vind het erger dat ik via de PostNL app alle zendingen van het hele postcode gebied krijg te zien. Ofja, 'alle'; veel in ieder geval.
Het verschil is hier dat je een zendnummer opgaf en het postadres van Zalando. In principe hoeft de afzender inclusief zijn/haar adres daarbij helemaal niet zichtbaar te zijn, want dat is niet relevant.
Ah nu snap ik hem. Ben dat zelf niet gewend. Hoewel ik áltijd het afzender adres plaatst zijn die grietjes hier bij de PostNL balie te lui om die gegevens ook daadwerkelijk in te voeren. Daar staat altijd 'afzender onbekend'.
Dit gaat ook uit van de (standaard) retourlabels van Zalando. Dus eigenlijk is iedere heenzending ook een hit op een terugzending (soms niet gebruikt).
Dit "lek" gaat alleen over retourzendingen.
Correct, maar webshops waaronder Zalando sturen met elke bestelling een retourlabel mee, waardoor je er dus ook tussen stond als je alleen bestelde en alles hield.
Vorige week had ik dit ook opgemerkt. Vooral omdat er bij mijn retourzending in Track&Trace een verkeerde naam vermeld stond in de PostNL app. Ik woon in Zwolle, maar er stond voor mij een compleet onbekende naam met adres uit de Randstad bij. Hierna heb ik in de URL ook de opeenvolgende nummers geprobeerd, met steeds retourzendingen van Zalando met complete namen etc.
Hierover heb ik Zalando gebeld. Enige wat ik als antwoord kreeg 'Maakt u zich geen zorgen'. Had het op dat moment druk en heb er dus geen verdere energie in gestoken. Mooi om te zien dat dit wel is opgepakt ondertussen en is aangepast.
De foutieve afzender triggerde mij ook even om die URL aan te passen...
Verkeerde naam erbij, is waarschijnlijk een fout bij post.nl, schijnt dat ze daar makkelijk kunnen frauderen, loopt er nu eentje bij custom afdeling met mijn Nike achtige schoenen rond, daar in dat gebouw.
Wat hadden ze gedaan; de track en tracé nummer gekoppeld aan een barcode gekoppeld van een jaar eerder die al gebruikt was, dus zegt het systeem...is al bezorgd...zij kunnen dus zelf een bezorgd pakketje waar naam en toenaam van een klant van een jaar eerder in jou nog te bezorgen track en tracé nummer zetten..
Als je praat over misbruik persoonsgegevens en fraude..
Melding van gemaakt via chat, ik moest volgende dag nog een keer chatten werd mij geadviseerd, kreeg een chat met iemand met de naam minne, die geen zin had om mijn gegevens op te zoeken en maar afzender moest vragen klacht of onderzoek in te stellen bij Postnl...
Dit is nogal oud nieuws want dit is de laatste ~20 jaar al mogelijk, sinds je met een trackingcode+postcode online kon zoeken. Daarom moeten trackingcodes ook random zijn en niet opvolgend worden uitgegeven.

Dit is dus gewoon een (denk/programmer) fout van Zalando om opvolgende trackingcodes te gebruiken.

Je krijgt een range van trackingcodes van PostNL en moet ze dus random uitgeven. Dat was vroeger ook al het geval met de voorgedrukte PostNL biljetten
Het is niet alleen zalando, maar ook andere shops. Bovendien kregen ze van postnl waarschijnlijk niet de mogelijkheid om volledig random nummers te maken, maar gewoon een range met daarin maximaal een miljoen nummers ofzo. Zalando kun je weinig verwijten, behalve dat ze mischien zichzelf als afzender hadden moeten zetten in plaats van de klant.
Van Coolblue en bol.com weet ik dat ze zichzelf als afzender zetten. Ik vraag me dus af of zij dit al wisten of dat ze daar geen zin hadden om persoonlijke retourlabels aan te maken. :P Alhoewel, op hun retourlabels staat het ordernummer wel vermeld geloof ik.
Ik las dat inderdaad in je mail aan onze redactie ;)

Grote kans dat iemand daar het gezien heeft en dacht 'dat is niet zo handig van ons' en het op deze manier heeft gefixt en er niet bij stil heeft gestaan dat het eenvoudig te raden nummers waren en/of dat het bij andere bedrijven dan ook gebeurde.
Serieus? 2 dagen geleden? Ik heb dit meer dan twee maanden geleden gemeld aan postnl. Ik werd afgewimpeld, ik moest maar contact opnemen met het bedrijf waar ik mijn bestelling had gedaan. Vervolgens gemeld bij AP omdat hier simpelweg sprake was van een datalek en zeker geen lichte. Want stel nou dat je een klant bent van een online apotheek en je stuurt iets terug? Dan zie je opeens andere naw-gegevens met een medisch smaakje. Hierdoor ook geen contact opgezocht met de media. Blijkbaar niks mee gedaan al die tijd. En dan wordt de media opgezocht en is het binnen 2 dagen gefixt? 8)7

Edit: dit was overigens niet bij alleen Zalando, maar ook andere webshops, zelfs die naar het buitenland!

[Reactie gewijzigd door ACC op 7 juni 2018 17:15]

Ik heb dit dinsdagmiddag gemeld bij de Functionaris Gegevensbescherming van PostNL. Woensdagochtend heb ik hen een iets uitgebreide e-mail gestuurd met daarbij enkele redacties op cc, een paar uur later werd ik al benaderd door de Cyber Security Office van PostNL IT.

Gisteravond hebben ze het probleem opgelost.
Dat zoiets niet eerder is opgemerkt, deze manier van achterhalen van andermans persoonsgegevens is toch wel erg simpel en al eerder aangetoond lek op andere websites.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True