Marktplaats-gebruikers werden door fout ingelogd op profiel van anderen

Verschillende gebruikers van Marktplaats konden dit weekend profielen van anderen inzien door een fout op de website. De gebruikers waren per ongeluk ingelogd met het account van anderen. Het gaat om zeker 24 gebruikers.

Door de fout was het mogelijk alle informatie uit het profiel van een andere gebruiker te zien. Het ging daarbij naast de naam, het adres en het telefoonnummer ook om de koopgeschiedenis van gebruikers zoals gesprekken met kopers en eerdere bestellingen.

RTL Nieuws deed navraag bij Marktplaats nadat gebruikers op Gathering of Tweakers het probleem opmerkten. Volgens Marktplaats gaat het om een fout door een update aan de site die recent werd doorgevoerd.

Hoeveel gebruikers er precies door zijn getroffen is niet bekend. Volgens Marktplaats hebben 24 gebruikers het probleem gemeld. Marktplaats heeft melding gedaan bij de Autoriteit Persoonsgegevens van een datalek.

Door Tijs Hofmans

Nieuwscoördinator

01-07-2020 • 13:32

74

Reacties (74)

Sorteer op:

Weergave:

Hoe kan ik er achter komen of mijn accountgegevens door onbevoegden zijn ingezien door middel van deze softwarefout?
Daar krijg je een mailtje over als het goed is, zoals verplicht is bij een ernstig data-lek (ik neem aan dat dit in de categorie ernstig valt).

"Als een datalek mogelijk ernstige gevolgen voor de privacy van mensen in het bestand heeft, is de organisatie verplicht het lek ook aan hen melden. Een organisatie moet in ieder geval globaal aangeven wat het lek inhoudt, waar iemand meer informatie kan vinden over het lek en welke maatregelen hij kan nemen om de gevolgen te beperken. Hierbij moet alles in het werk gesteld worden om mensen te informeren, en kan gebruikgemaakt worden van e-mail, telefoon en/of een melding op de website." (bron)
Ik heb nog geen email ontvangen. Oei en we zijn al woesndag...
Ik verwacht ook persoonlijk niet dat dit gaat gebeuren, ik heb niet zo'n hoge pet op van marktplaats. Maar we kunnen natuurlijk hopen :D Daarnaast ontvangen alleen de getroffen gebruikers een mail verwacht ik.

[Reactie gewijzigd door Archcry op 23 juli 2024 05:16]

Marktplaats zal de enige zijn die dat echt kan inzien denk ik. https://www.marktplaats.nl/i/help/contact/
ik vraag me af wat voor onderliggende software ze gebruiken en hoe modern en goed onderhouden die is.
Dit is bijv. in 2015 ook gebeurd bij Steam, hier had iemand van Akamai/Cloudfare de 'cache' verkeerd gezet waardoor je een poosje (op een server) de gebruikers van de vorige bezoeker zag.

Ken de precieze details niet meer, maar lijkt me eenzelfde soort situatie.
Uiteraard niet te zeggen of dit een zelfde soort probleem is, maar aannemelijk wel ja. Vooral omdat een caching feature vaak niet zo goed wordt afgedekt met testen dan de authenticiate/login feature
Lijkt me absoluut geen caching probleem dit, maar eerder dat sessies aan de verkeerde gebruikers gekoppeld worden.

Bij steam was het per page anders (Omdat de page inderdaad gecached was), bij marktplaats was je gewoon op dat moment even iemand anders op de website.
Tom Scott heeft er een video over gemaakt voor mensen die geïnteresseerd zijn: https://www.youtube.com/watch?v=dkSslseq9Y8
Mja ik was er direct bij betrokken maar weet de details niet meer, wat er over gecommuniceerd was ;)
Hier een duidelijke uitleg van Tom Scott.

Edit: oeps iemand was me al voor.

[Reactie gewijzigd door Earth_Apple op 23 juli 2024 05:16]

Zelfbouw intern. Ze hebben vacatures uitstaan voor Java/Scala developers in ieder geval.
Dat zegt niets over de beveiliginssoftware… Deze staat vaak los van de eigenlijke programmatuur. Als voorbeeld kun je de Entrust omgeving nemen waar met security tokens wordt gewerkt. Dit is een apart platform.
Ja dat snap ik, maar de vraag was toch niet zozeer beveiliginssoftware? :)

Maar beveiliging inderdaad veel dieper dan de taal of het framework. Architectuur ed. speelt dan ook een rol.
Bij Marktplaats heb ik tussendoor soms ineens errors, of zie ik ineens wijzigingen die half af zijn. Hoewel het best een big budget-speler is, heb ik soms het idee dat ze geen OTAP-straat hebben maar rechtstreeks op de live-server werken.
Droevig gesteld, je krijgt meldingen of je interesse hebt in je eigen advertenties

Als je marktplaats belt op het 020 krijg je een bandje te horen dat je contact kan hebben via het contactformulier, alleen was er ooit een contact formulier en is er nu geen contact formulier meer en moet alles via de chat.

Klanten hierover informeren is nooit gebeurd.

Als het wat moeilijk wordt om een concreet antwoord te geven op een op nette wijze aangevoerd probleem dan sluit men onaangekondigd de chat en jij hebt dan een onopgelost probleem.

Het feedbacksysteem is ook erg onhandig jij verkoopt artikel A wat je 10 keer hebt aan 3 personen , je kan maar een persoon feedback geven bij gedane verkoop door de advertentie te verwijderen en moet die dus weer opnieuw plaatsen, de andere 2 personen krijgen dus nooit de verdiende feedback, wat het hele feedbacksysteem dus totaal ontwricht.

De feedback wordt bijgehouden to maximaal 100 reacties, het resultaat is dat er een vertekend beeld ontstaat van iemands handelswijze.

Je zou verwachten dat een Ebay dochter net als Ebay professioneel te werk gaat, helaas is de Marktplaats software zeer onlogisch qua opzet en feitelijk te droevig voor woorden.

Even een dikke EDIT:

Ter verduidelijking een website die op een dergelijke ondoordachte wijze is opgezet daarvan kan men uiteraard verwachten dat dit ook de veligheid en betrouwbaarheid niet ten goede komt!

[Reactie gewijzigd door POL_1953 op 23 juli 2024 05:16]

Ik kan ook mensen beoordelen die uiteindelijk niks gekocht hebben en mensen waar je prima handel
mee gehad hebt kan je dan weer niet beoordelen.

Zo krijg je dan ook weer dat je kans op een slechte beoordeling als je iemand zijn bod niet accepteert (omdat het bijv belachelijk laag was).
Ik heb dit gehad, meteen uitgelogd en als mezelf ingelogd.
Merkte het bij mijn ouders account. Hoe merkte ik het? er werd behoorlijke gescheld naar andere kopers via marktplaats berichten. Naam & postcode was veranderd. Dacht eerst dat het om een gehacked account ging, maar daar leek het niet op. 2fa staat gewoon aan.

Ook nog steeds geen bericht hierover gehad.
Wat zijn de regels vwb GDPR? Volgens mij moet Marktplaats nu, zonder vertraging, alle gebruikers informeren over mogelijk gelekte gegevens.

[Reactie gewijzigd door kaasboer09 op 23 juli 2024 05:16]

tot 72 uur om het te melden vanaf het moment dat je er van weet.
Nadeel is dat het lastig te bewijzen is, ze kunnen namelijk gewoon zeggen dat ze er niet eerder van wisten
Dus binnen drie dagen kan iedereen met een account een email verwachten van het moederbedrijf Ebay, of wordt er gefilterd op de accounts waarbij een actieve sessie was geregistreerd tijdens het lek?
Woy Moderator PRG/SEA @kaasboer091 juli 2020 14:59
In principe hoeven alleen de getroffen gebruikers geïnformeerd te worden.
Daarom kreeg ik al die radio's te zien op de hoofd-pagina.
Ik allemaal muziekinstrumenten. Nu ben ik zo muzikaal als een dode nachtegaal. Of het was natuurlijk een hint van de AI ;)
Dit had ik ook een keer met EA Origin. Logde op een dag in met mijn gegevens en kreeg een account van een Hongaar voor mijn neus waar twee games op stonden. Toevallig gebeurde dit in de periode waarin EA databases aan het combineren was, mogelijk de identifiers overschreven. EA support zei dat mijn account was gehackt, wat mij niet logisch leek.
Voor de zekerheid mijn wachtwoord toch maar even opnieuw ingesteld. :)
Ik ook, maar ik vraag me af waarom :+
Wachtwoord is niet zichtbaar op marktplaats en resetten gaat via de mail.

Maargoed, resetten is een kleine moeite.
Mijn ervaringen zijn meestal redelijk negatief. Ook weleens positief maar dat komt minder voor. Marktplaats treft nooit blaam die maakt het niet uit of jij bedondert wordt of niet, let zelf maar op.
Zeker accounts die sinds 1 dag actief zijn moet je nooit vertrouwen.
Nadeel dat mensen jou advertentie 3 4 5x bewaren en er reageert nooit iemand, dat vindt ik ook altijd al zo vervelend, eigenlijk zou je net als onzin biedingen ook dat bewaren moeten kunnen verwijderen.

[Reactie gewijzigd door vinkjb op 23 juli 2024 05:16]

Ach het is wat het is. Anderen zien dat 'bewaard' en zie het als reclame voor je advertentie, doen de boekingssites uiteindelijk ook.
En als ik zelf reageer, even een nette tekst maken. Als ik geen 15 seconden besteed aan mijn reactie zal de verkoper ook denken dat ik niet serieus ben. Toch?
Iemand had ook een topic op got geopend: Ingelogd op account van vreemde op marktplaats Marktplaats was nogal hard aan het ontkennen dat dit het geval was toen hij melding maakte.

Op dit item kan niet meer gereageerd worden.