Adresgegevens waren in te zien via PostNL bij retourzendingen webshops

PostNL heeft een wijziging aan zijn website doorgevoerd waardoor het niet meer mogelijk is om de voornaam en adresgegevens van klanten van webshops op te vragen door een getal in de url te veranderen. Deze mogelijkheid bleek te bestaan bij retourzendingen.

De mogelijkheid om de zogenaamde 3S-code van een zending in de PostNL-url aan te passen werd opgemerkt door een oplettende tweaker, die hier twee dagen geleden melding van maakte. Hij kwam erachter dat het aanpassen van de url mogelijk was bij een retourzending naar Zalando. De webshop gebruikt voor alle retourzendingen dezelfde postcode voor het bezorgadres, waardoor de enige onderscheidende factor tussen de zendingen de 3S-code van PostNL is.

Door de waarde van die code in de url bijvoorbeeld steeds met één cijfer te verhogen, was het mogelijk om de voornaam en adresgegevens van andere klanten van de webshop te achterhalen en zo in principe de gegevens van een groot aantal personen te verkrijgen. De url ziet er als volgt uit: /track-en-trace/3S-code/NL/postcode. Zalando laat in een reactie weten dat 'de gegevens en de veiligheid van zijn klanten essentieel zijn' voor het bedrijf.

Een woordvoerder van PostNL zegt dat het inmiddels niet meer mogelijk is om op de beschreven manier gegevens in te zien. Er wordt nu alleen nog een code in plaats van de naam getoond en ook de adresgegevens zijn weggehaald. Dit geldt niet alleen voor Zalando, maar ook voor andere webshops die met hetzelfde verschijnsel te maken hadden. PostNL laat weten de desbetreffende webshops op de hoogte te hebben gesteld.

Ook heeft het bedrijf melding gedaan bij de Autoriteit Persoonsgegevens. Er zouden geen aanwijzingen zijn dat er misbruik is gemaakt van de mogelijkheid.

PostNL-dataPostNL-data

Situatie voor de wijziging (links) en na. De zwarte blokken dekken naam en adresgegevens af.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 07-06-2018 15:09
101 • submitter: Mawlana

07-06-2018 • 15:09

101 Linkedin Whatsapp

Submitter: Mawlana

Lees meer

Gmail krijgt in VS functie om track-and-trace-info weer te geven
Gmail krijgt in VS functie om track-and-trace-info weer te geven Nieuws van 3 november 2022
PostNL laat gebruikers locatie van bezorger zien in app
PostNL laat gebruikers locatie van bezorger zien in app Nieuws van 26 november 2019
PostNL hoeft pakket van webshop niet thuis te bezorgen als betaling nodig is
PostNL hoeft pakket van webshop niet thuis te bezorgen als betaling nodig is Nieuws van 11 juli 2019
UWV laat privégegevens 2400 cliënten uitlekken door verkeerd gestuurde bijlage
UWV laat privégegevens 2400 cliënten uitlekken door verkeerd gestuurde bijlage Nieuws van 15 augustus 2018
De Persgroep lekt 350.000 e-mailadressen door hack op klantenservicedatabase
De Persgroep lekt 350.000 e-mailadressen door hack op klantenservicedatabase Nieuws van 29 juni 2018
Accountnamen en wachtwoorden dienst voor dna-analyse liggen op straat
Accountnamen en wachtwoorden dienst voor dna-analyse liggen op straat Nieuws van 5 juni 2018
Nederlandse overheid start Cyber Security Alliantie met bedrijfsleven
Nederlandse overheid start Cyber Security Alliantie met bedrijfsleven Nieuws van 24 mei 2018
'Veel beroepsregisters geven persoonsgegevens vrij'
'Veel beroepsregisters geven persoonsgegevens vrij' Nieuws van 10 mei 2018
MyFitnessPal vraagt 150 miljoen gebruikers wachtwoord te veranderen na datalek
MyFitnessPal vraagt 150 miljoen gebruikers wachtwoord te veranderen na datalek Nieuws van 30 maart 2018
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken
Nederlandse toezichthouder startte vorig jaar 635 onderzoeken naar datalekken Nieuws van 29 maart 2018
Meer producten en artikelen
Privacy Datalek

IT-banen

Meer vacatures

Reacties (101)

-Moderatie-faq
101
99
81
7
0
7
Wijzig sortering
Tmaster
7 juni 2018 16:29
Ik moet zeggen dat ik ook mijn vraagtekens zet bij het systeem van pakket- ophaal punten. Ik had mijn pakje laten afleveren bij zo'n postnl/dhl etc ophaalpunt (soms een drogisterij of electronica zaak)
Je zegt dat je een pakje komt afhalen en je moet je dan uiteraard legitimeren.. In dit geval pakte de man achter de toonbank een PostNL systeem om mijn barcode in te scannen. Ik kon meekijken en bij het geven van mijn naam zocht hij naar mijn persoonsgegevens in dat systeem.. Ik zag hoe hij al swipend langs allerlei ingescande persoonsdocumenten ging van wildvreemde personen! Rijbewijzen, ID kaarten, paspoort kwamen voorbij met een simpele swipe. Gewoon handig op alfabet gezet.. Ik dacht WUT? Waarom mag zo'n privaat persoon zo bij al die gegevens komen? Verder leek het er ook sterk op dat hier ook geen inlog aan vast zat (of ik moet dat gedeelte net gemist hebben) maar dat kan toch niet?
bbob
@Tmaster7 juni 2018 16:43
De vraag is eerder waarom mag men kopie hebben van jou id bewijs ?
Voor het afhalen van een zending moet je je legitimeren en kijkt men of naam overeenkomt met de geadresseerde. zo ja zending mee zo niet geen zending.
Het enige dat misschien mag is nummer van je document in het systeem zetten, maar kopie maken mag helemaal niet.
Jerie
@bbob7 juni 2018 17:28
Kopie maken mag inderdaad niet. De NL overheid heeft een app waarmee je BSN wordt afgeschermd, KopieID. De app is er voor iig iOS, Android, en Windows.
FireSheep
@Jerie7 juni 2018 18:05
Foto gemaakt van paspoort, helaas eerder slachtoffer geweest van id fraude .Vandaag door mijn uitzendbureau gevraagd dat bsn zichtbaar moet zijn. Kijken mij heel vreemd aan waarom ik zo erg argwanend ben.

[Reactie gewijzigd door FireSheep op 7 juni 2018 18:05]

Mmore
@FireSheep7 juni 2018 20:16
Dat vroeg een uitzendbureau aan mij ook, in 2015. Ze accepteerde niet een digitale kopie waarop het een en ander afgeschermd was en moesten per se een onbewerkte kopie hebben. Ik heb ze toen laten weten dat ze een hardcopy mogen komen maken maar dat ik niet wil dat deze digitaal verwerkt wordt. Hier is nooit een reactie op gekomen 8)7

Overigens mag je werkgever volgens mij wel een kopie van het BSN gedeelte maken van wat ik mij toen herinner. Ik had alleen duidelijk op de digitale kopie gezet dat het een kopie betrof voor het uitzendbureau met daarop ook de datum van de kopie. Daarnaast had ik een soort van watermerk verstopt.
PolarBear
@Mmore7 juni 2018 23:51
Een uitzendbureau is ook een werkgever en moet een goed leesbare kopie bewaren:

https://www.rijksoverheid...an-de-identificatieplicht
U moet een duidelijke kopie maken van het identiteitsbewijs. Documentnummer, pasfoto en burgerservicenummer (BSN) moeten goed leesbaar zijn. U bewaart deze kopie in uw administratie voor eventuele controles, bijvoorbeeld door de Inspectie SZW. U moet de kopie bewaren tot minstens 5 jaar na het kalenderjaar waarin de werknemer uit dienst is gegaan.
Zij hadden dus gewoon gelijk.
Mmore
@PolarBear7 juni 2018 23:59
Mijn kopie voldeed aan al die eisen. Er waren geen gegevens afgeschermd die nodig waren (documentnummer, pasfoto en BSN). Er stond alleen ook duidelijk overheen dat het een kopie was voor het uitzendbureau, met de datum waarop de kopie gemaakt was. Volgens mij voldoet dat prima. Overigens heb ik tegen het fysiek opslaan geen probleem, maar het digitaal verwerken wel.
batjes
@Tmaster7 juni 2018 17:42
Bij de ophaal punten hier in de buurt hoef je je enkel te legitimeren. Men kijkt of jij jij bent en handigt je dan het pakketje over. Ik heb nog nooit mijn ID kaart uit handen hoeven geven. De enige momenten waar ik mijn ID kaart zelf niet in bezit had was voor kopietjes bij werkgevers of agenten die je staande houden. De rest fuck et, ik weiger hem ook los te laten. Ze hebben wettelijk toch geen poot om op te staan om je ID te eisen :)

Enige vreemde tot nu toe is dat in ik in plain tekst email een aantal keer mijn BSN nummer heb moeten doorgeven aan mijn gemeente om te verifieren dat ik ook ik was.

Ik zou toch leuk melding maken bij de AP over je afhaalpunt, wat ze doen is gewoon verboden en staan hoge boetes op.
stresstak
@batjes7 juni 2018 18:44
De rest fuck et, ik weiger hem ook los te laten. Ze hebben wettelijk toch geen poot om op te staan om je ID te eisen :)
Het wordt natuurlijk wel een gedoe als je dan je pakketje niet krijgt.
Vaak is scannen luiheid. Men scant om zich in te dekken tegen overschrijffouten en als bewijs dat ze het hebben gezien.
batjes
@stresstak7 juni 2018 18:52
Dan kies je een ander afhaalpunt? Afhankelijk van waar je woont misschien makkelijker gezegt dan gedaan.

Dat het document nummer genoteerd wordt is niet zo apart, niet verboden ook. Dat is afdoende om je in te dekken als afhaalpunt. Al het overige is gewoon verboten. Hoef je je ID ook niet voor uit handen te geven en hoeft er zeer zeker niets gescant of gekopieerd te worden.

Hoe goed denk je dat die systemen beveiligd zijn? Vooral bij een winkel wat al zo nalatig of laks bezig is.

Wat ze doen is zviw gewoon verboden en staan er hoge boetes op. Licht de zaak in of meld het bij het AP.
stresstak
@batjes7 juni 2018 19:17
Dan kies je een ander afhaalpunt?
Indien de mogelijkheid tot kiezen bestaat. Bij mislukte bezorging wil men het hier nog wel eens bij een of andere Primera afgeven als ophaalpunt. Die zal ik uiteraard van repliek dienen als het nogmaals gebeurt, zeker nu er een wet actief is geworden.
Laloeka
@Tmaster7 juni 2018 16:48
Je zou hier melding van moeten maken. Ik kan me niet herinneren dat mijn rijbewijs ooit ingescand is bij het PostNL afhaalpunt bij mij in de buurt. Wellicht zijn ze daar met andere zaken bezig dan waar PostNL ze toe verplicht.
niekdejong
@Laloeka7 juni 2018 17:26
Toen ik m'n pakketje ophaalde bij de Spar (ophaalpunt van bepaalde pakketten) moest ik inderdaad een geldig identiteitsbewijs tonen. Deze werd toen gescand. Had eigenlijk moeten vragen waarom.
Anoniem: 998261
@niekdejong7 juni 2018 17:44
Voor welke bezorgdienst werkt Spar? Zowel bij PostNL agentschappen, UPS agentschappen en Bol.com bij AH hoef je alleen maar je ID te laten zien. Doen ze verder niks mee.
niekdejong
@Anoniem: 9982617 juni 2018 18:42
Het pakketje kwam vanuit België met BPD dacht ik. Dat is overhandigd aan PostNL.
DYX
@Anoniem: 9982617 juni 2018 21:05
Bij PostNL afhaalpunten wordt altijd de barcode van mijn rijbewijst gescand. Met andere kom ik minder, dus daar kan ik niets over zeggen
PerlinNoise
@Laloeka7 juni 2018 17:53
Bij de Bruna scannen ze altijd je rijbewijs als je een pakket komt ophalen.
woekele
@Tmaster7 juni 2018 17:37
kan het zijn dat deze bewijzen in het systeem waar langs geswipet werd (nep)voorbeelden zijn van geldige documenten zodat ze die kunnen vergelijken op geldigheid? Kan me voorstellen dat een medewerker niet alle type bewijzen uit het hoofd kent en ze zo geholpen worden.
stresstak
@woekele7 juni 2018 18:41
Staat er in dat geval niet zoiets als SPECIMEN overheen.?
FireSheep
@Tmaster7 juni 2018 18:07
Nee leuk geprobeerd maar dat zijn geen bewijzen dat zijn voorbeelden. Denk dat je niet helemaal goed meekeek en aannames had.
Ras
@Tmaster7 juni 2018 18:57
Je hebt kennelijk vragen hierover en het beste waar je dan mee kunt beginnen is gewoon vragen bij het ophaalpunt wat ze doen als je barcode gescant wordt. Wellicht heb jij iets verkeerd gezien, of goed gezien en verkeerd geinterpreteerd.

Zelf was ik verbaasd dat de kassiere bij de AH mijn rijbewijs aanpakte en dingen in begon te tikken. Ik ben verhaal gaan halen en het bleek dat de kassiere mijn geboortedatum overtikte in een rekenhulp om te kijken of ik alcohol mag kopen. Onschuldig dus, maar de beeldvorming was anders. Vooral vreemd omdat ik geboren ben in de jaren 80 en alleen de 8 dus al genoeg aanleiding moest geven om me alcohol te kunnen verkopen.
0xygen500
@Tmaster7 juni 2018 19:28
wat je hier boven beschrijft kan ik mij niet herinneren van de tijd dat ik pakjes aannam voor postnl. Dat je de paspoorten zo in kon zien. Wat ik mij wel herinner is dat je wel een inlogcode had, maar elke medewerker wist dat nummer wel. Wij konden volgens mij niet zo swipen en alles zien.
Pascal
@Tmaster7 juni 2018 19:50
Hier typen ze ook je ID of Rijbewijs nummer in hun systeem :/
AlexKnight1978
@Tmaster8 juni 2018 04:09
Ik heb zelf gewerkt in een winkel die DHL afhaalpunt was, en het enige wat ik moest doen was het ID nummer of rijbewijs nummer ingeven in het systeem, er werden zeker geen foto's gemaakt.
Ketho
@Tmaster7 juni 2018 17:30
Ja dat vind ik wel vreemd. In het verleden keken ze alleen kort naar mijn identiteitskaart om die te controleren, nu deden ze er langer over voordat ik mijn handtekening mocht zetten. Dat zou ook gewoon toeval kunnen zijn, maar het is moeilijk om te zien of zij een id bewijs overtypen of scannen achter de toonbank of niet.

[Reactie gewijzigd door Ketho op 7 juni 2018 20:26]

Jorissie87
7 juni 2018 15:19
Dus het enige dat je hiermee kon zien was dat iemand op adres X ook een retourzending had? Wat het precies is kun je niet zien, enkel het gewicht en de afmetingen. Het is natuurlijk niet netjes maar tegelijkertijd ook absoluut niet het einde van de wereld.
Mawlana
@Jorissie877 juni 2018 15:26
Zalando stuurt met iedere bestelling een retourlabel mee. Je retourzending staat dus in het systeem van PostNL, of je daar wel of geen gebruik van maakt. De naam en adresgegevens van alle Zalando-klanten lagen hierdoor op straat.
DigitalExorcist
@Jorissie877 juni 2018 15:32
Punt is dat je naam en adresgegevens kan bemachtigen, en dát is natuurlijk op zich al uit den boze.
LopendeVogel
@DigitalExorcist7 juni 2018 15:58
Anders sla je een telefoonboek open (papier of digitaal), en hoppa met telefoonnummer...
Jep je kan ervoor kiezen om daar geen vermelding in te hebben, de meeste hebben dat dus gewoon lekker wel en niemand die daar wakker om ligt.
Mawlana
@LopendeVogel7 juni 2018 16:05
Maar nu zie je naast hun naam, adres en telefoonnummer in de telefoongids dus ook staan of iemand Zalando-klant is. ;)
LopendeVogel
@Mawlana7 juni 2018 16:58
Sowsow :p
jvdmeer
@LopendeVogel8 juni 2018 09:17
Totdat ZALAND0.NL phishing mails gaat sturen aan die mensen om extra gegevens te bemachtigen natuurlijk. En mensen niet doorhebben dat het niet om Zalando gaat.
LopendeVogel
@jvdmeer8 juni 2018 11:28
Want het email adres stond ook in de trace link?
Of hebben we t over de info uit de telefoongids? Tsja voor pishing is geen track en trace info voor nodig, alleen een database met email adressen.
Koffiebarbaar
@DigitalExorcist7 juni 2018 16:08
SIDN (stichting voor .nl domein) wil eigenlijk ook dat je als domeineigenaar met naam, toenaam, adres, mailadres en telefoonnummer op internet staat en dat is gewoon procedure.
De meeste hostingboeren willen daar wel voor gaan staan voor je door in ieder geval adres en contact data te vervangen door hun adresdata maar dat is niet het idee van die registratieprocedure.

Het is slecht, maar ik zie geen vuur en zwavel uit de lucht komen vooralsnog.
Het telefoonboek is ook gewoon een ding waar je in staat tenzij je dat uit hebt gezet hé...
ninjazx9r98
@Koffiebarbaar7 juni 2018 18:35
Dat willen ze niet en is ook niet de procedure.
https://www.sidn.nl/a/nl-domeinnaam/sidn-en-privacy
janchtw
@Koffiebarbaar7 juni 2018 21:33
De meeste hostingboeren willen daar wel voor gaan staan voor je door in ieder geval adres en contact data te vervangen door hun adresdata maar dat is niet het idee van die registratieprocedure.
Dan heb ik het niet getroffen bij mijn hoster. Die vraagt 12,- per jaar voor "... Privacy Protect"
Maverick
@Jorissie877 juni 2018 15:33
Met een mooi scriptje heb je zo een mooie database opgebouwed van iedereen die iets teruggestuurd heeft naar Zalando. Denk dat dit best waardevol kan zijn voor sommige bedrijven ;)
Mawlana
@Maverick7 juni 2018 15:41
Voor iedere bestelling wordt een retourlabel aangemaakt. Je wist dus van iedereen die iets heeft besteld of die persoon iets heeft teruggestuurd. :P

PostNL heeft een leuke API die JSON uitspuugt: https://jouw.postnl.nl/we...3SEAGK014290001-NL-5140WR 'Sender' staat nu netjes op null, maar daar stonden dus de naam en adresgegevens. :)
Mr Brightside
@Maverick7 juni 2018 15:42
En dan zie je dat iemand iets retour heeft gezonden? Dat heet gewoon gebruik maken van je recht, retourrecht. Wat is daar dan waardevol aan?
Maverick
@Mr Brightside7 juni 2018 16:06
Ik denk dat als ik een kleding webshop ben, ik best geld over zou hebben voor een bestand met NAW gegevens van een heleboel zalando klanten zodat ik ze mooi een geadreseerde folder kan sturen met aanbeidingen.
Ivanzoomski
@Maverick7 juni 2018 19:54
Dit is de enige concrete reden die ik hier heb gelezen waarom dit een probleem zou zijn :)
Mawlana
@Mr Brightside7 juni 2018 15:49
Het gaat er niet om of iemand wat heeft geretourneerd. Bij iedere bestelling wordt een retourlabel (met bijbehorend 3S-nummer) gegenereerd. Je kon dus de naam en adresgegevens van alle klanten die iets hebben besteld inzien, en zelfs hoe vaak (als je je database blijft updaten). Verder kon je dus ook zien of iemand iets heeft teruggestuurd.

Zie ook Mawlana in 'nieuws: Adresgegevens waren in te zien via PostNL bij retourz... .
dabronsg
7 juni 2018 15:15
Ik vraag mijzelf af hoe je dit wilt misbruiken...
Bastie-88
@dabronsg7 juni 2018 15:20
Kwaadwillenden die zich uitgeven voor bijv. een Zalando (vanwege voorbeeld in de screenshot) en zo een aanmaning in de bus doen?
dabronsg
@Bastie-887 juni 2018 15:23
maar je hebt een track and trace code. Als je Post NL opbelt (of deze ff opzoekt op www) kan die vertellen of het pakket afgeleverd is. Ik denk niet dat je daarmee veel kan verdienen.
Bastie-88
@dabronsg7 juni 2018 15:27
True, maar het zou je verbazen hoeveel mensen daar nog in trappen.
Als ze van de 100 brieven bij 1 bingo hebben is het al mooi meegenomen.
Anoniem: 310408
@Bastie-887 juni 2018 19:37
True, maar het zou je verbazen hoeveel mensen daar nog in trappen.
Als ze van de 100 brieven bij 1 bingo hebben is het al mooi meegenomen.
Dat lijkt me een zeer optimistische schatting. Maar goed je begrijpt dat als je geld ontvangt je door de overheid makkelijk te vangen bent? Laat ik het zo zeggen, als er bij een aanmaning staat dat ik alleen met BC kan betalen moet ik erg lachen. En dan nog, gebruik een creditcard en je boekt het terug met een glimlach.

Al met al denk ik niet dat alleen tweakers die een hele hoop alufolie hebben liggen zich daar zorgen over maken. Sign of the time want tegenwoordig zijn tweakers wanhopig argwanend voor alles wat digitaal is.
CivLord
@Anoniem: 3104088 juni 2018 10:54
Als je het slim doet, waardoor het alleen maar lijkt op een aanmaning van Zalando, maar het bij goed lezen een vriendelijk verzoek is om een donatie te doen, sta je al een stuk sterker. Wanneer je dan ook nog eens voldoet aan 'vriendelijke verzoeken' om geld terug te storten (zal maar in een beperkt aantal van de gevallen gebeuren). sta je nog sterker.
Ik denk dat hier weinig meer tegen te doen is dan een 'brief op poten' van Zalando met het verzoek om te stoppen met het gebruiken van beeldmerken die erg op die van Zalando lijken. (Tenzij ze er achter komen hoe je aan de adressen gekomen bent.)
TranQuilNL
@dabronsg7 juni 2018 16:12
'Hey, ik zie dabronsg, woonachter op straat X huisnr Y te Z, regelmatig wat besteld bij Zalando. Das interessant... Zal ik dan maar de brochures voor winkel Dalando, Malando en Jalando(met soortgelijke producten) aan hem versturen. Groot kans dat ik hem zo binnen kan halen als klant'.
Anoniem: 310408
@TranQuilNL7 juni 2018 19:48
Dus een klant die dingen retour stuurt is interessant voor je? Laat me raden, je hebt geen webshop. en je hebt zeker geen idee wat de kosten van dat soort dingen zijn. Wij verliezen gemiddeld 22 euro op een dergelijke klant.

Mocht ik een dergelijke database in handen krijgen en hem MOGEN gebruiken zou dat een lijst zijn van klanten waar ik niet aan wil leveren. Dat soort lijsten ZIJN in omloop overigens. Als je op een dergelijke lijst staat zal je vaak zien dat je transactie 'mislukt'.

Maar neem van mij aan dat dit lek nul en geen waarde heeft als klantenlijst. En om eerlijk te zijn, zelfs als je geen ervaring hebt in dit soort dingen had je kunnen weten dat klanten die iets terugsturen niet aantrekkelijk zijn.

Beetje off topic... PayPal doet tegenwoordig behoorlijk moeilijk als je regelmatig aankopen terug draait. In de US heeft dat soort dingen al een behoorlijke impact op je credit score maar ik weet met zekerheid dat dit in de EU ook gaande is. Visa etc is het zat dat mensen hun service als een try before you buy gebruiken en je moet er rekening mee houden dat terugboeken niet zonder gevolgen is.
CivLord
@Anoniem: 3104088 juni 2018 11:01
Het gaat hier om retourlabels die automatisch worden aangemaakt voor elke bestelling. Ongeacht of de bestelling wel of niet geretourneerd wordt. Dat wordt juist gedaan om in het geval van retouren, de kosten te beperken (dan hoeft er geen actie ondernomen te worden om alsnog een retourlabel aan te maken.)
stresstak
@TranQuilNL7 juni 2018 18:14
Moet je wel betere spullen leveren want het onderwerp is terugsturen van zooi die men toch niet wil hebben.

Malando, daar heb ik nog platen van.
burne
@dabronsg7 juni 2018 15:21
Soms moet je gewoon creatief zijn. Je hebt de oplossing al, nu het probleem nog.
vrow
7 juni 2018 15:13
Vroeger keek je gewoon in een telefoonboek voor een naam en adres van iemand die je wilde bereiken, tegenwoordig kun je gewoon door steeds een andere URL op te vragen willekeurige adressen krijgen die je helemaal niet nodig hebt :)
Leve de vooruitgang! :+
Zarc.oh
@vrow7 juni 2018 15:18
Met als verschil dat je voor het telefoonboek een opt-in had bij het afsluiten van een PTT-abonnement.
Zelfs sekslijnen mochten worden opgenomen :+
defixje
@Zarc.oh7 juni 2018 15:34
Dat was zeker geen opt-in, maar een opt-out.

Iedereen kwam gewoon standaard in het telefoonboek terecht.
TranQuilNL
@defixje7 juni 2018 16:13
Tegenwoordig is het wel een opt-in. Vroegah niet.
defixje
@TranQuilNL7 juni 2018 16:14
Ja klopt, maar wij hadden het over vroeger. Bij de PTT Abonnement,
KrazyJay
@Zarc.oh7 juni 2018 15:26
Eh nee, er was een opt-out. Maar, privacy was toen nog geen ding...
Snippo
@KrazyJay7 juni 2018 16:26
Met één klik een advertentie naar een onbeperkt aantal mensen sturen ook niet.

Als er geen misbruik van gemaakt zou worden dan zou het niet uitmaken of privé gegevens openbaar zijn, helaas is dat niet het geval.
WhatsappHack
@KrazyJay8 juni 2018 01:29
Juist wel, alleen was je reach kleiner waardoor onderling vertrouwen groter was.
slendersnicky
@vrow7 juni 2018 16:13
Hoezoo vroeger? nu zitten ze zelfs digitaal. (toch in BE) echt niet moeilijk om naam en adres van iemand op te zoeken.
https://www.wittegids.be
Als je dat vergelijkt is die veel erger. je kan zelfs gewoon van een bepaalde straat alle namen en adressen opzoeken. Als je daar op pad gaat met een bundeltje valse facturen heb je zeker beet bij de wat oudere mensen.
stresstak
@vrow7 juni 2018 18:08
Vroeger keek je gewoon in een telefoonboek voor een naam en adres van iemand die je wilde bereiken,
Als je wist in welk telefoonboek je kijken moest.
tegenwoordig kun je gewoon door steeds een andere URL op te vragen willekeurige adressen krijgen die je helemaal niet nodig hebt :)
Telefoonboeken staan vol met namen en nummers die ik niet nodig heb. Altijd al.
AmigaWolf
@vrow8 juni 2018 15:18
Met als verschil dat je met een telefoonboek niet weet wie en wat die persoon gekocht heeft.

Erg triest dat ze er nu pas achter komen, maar het is gelukkig wel weer gefikst.
Frogmen
7 juni 2018 15:25
Hoe kan je je toch ook druk maken om dit soort kleinigheden A. staat het telefoonboek er ook vol mee B. het enige gegeven wat je extra hebt is dat iemand weet dat diegene iets bij Zalando heeft betaald samen met duizenden anderen. Staat los van het feit dat het niet netjes is, maar ik krijg wel het idee dat alles op dit moment wordt opgeblazen. Hetgeen weer contra productief werkt want echt ernstige zaken kunnen nu makkelijk uit het oog blijven.
ronn0
@Frogmen7 juni 2018 15:42
Het is anders. Nu weet je de naam + adres + het feit dat ze bij Zalando besteld hebben. Met die combinatie zou je dus bijvoorbeeld brieven (of e-mails als je die uit een andere database plukt) kunnen sturen met het feit dat er nog een openstaand post is en die zouden willen voldoen op IBAN NL11OPLICHTER000.
Frogmen
@ronn07 juni 2018 15:46
Ja voordeel is dat je die brieven naar 20% van de nederlandse adressen kan sturen, nadeel is dat brieven sturen duur is en veel inspanning kost. Twee zaken waar oplichters een hekel aan hebben. Brieven van de regionaal favoriete energiemaatschappij levert meer op.
418O2
@Frogmen7 juni 2018 15:34
Hoeveel mensen onder de 35 staan nog in het telefoonboek?
Anoniem: 998261
@Frogmen7 juni 2018 17:53
En als je echt wilt kan je een scholier voor een paar euro per uur langs huizen lopen en alle NAW gegevens op laten schrijven....
Anoniem: 221563
7 juni 2018 15:16
Uhm, dit is toch bij design? Je kunt een zending ophalen door je postcode + tracktrace combinatie. Staat toch los van webshops danwel retourzendingen? Enige 'voordeel' is dat je weet dat er op een specifieke postcode veel zendingen binnen komen.

Vind het erger dat ik via de PostNL app alle zendingen van het hele postcode gebied krijg te zien. Ofja, 'alle'; veel in ieder geval.
lolgast
@Anoniem: 2215637 juni 2018 15:18
Het verschil is hier dat je een zendnummer opgaf en het postadres van Zalando. In principe hoeft de afzender inclusief zijn/haar adres daarbij helemaal niet zichtbaar te zijn, want dat is niet relevant.
Anoniem: 221563
@lolgast7 juni 2018 15:22
Ah nu snap ik hem. Ben dat zelf niet gewend. Hoewel ik áltijd het afzender adres plaatst zijn die grietjes hier bij de PostNL balie te lui om die gegevens ook daadwerkelijk in te voeren. Daar staat altijd 'afzender onbekend'.
ronn0
@Anoniem: 2215637 juni 2018 15:40
Dit gaat ook uit van de (standaard) retourlabels van Zalando. Dus eigenlijk is iedere heenzending ook een hit op een terugzending (soms niet gebruikt).
dabronsg
@Anoniem: 2215637 juni 2018 15:17
Dit "lek" gaat alleen over retourzendingen.
RobinF
@dabronsg7 juni 2018 17:20
Correct, maar webshops waaronder Zalando sturen met elke bestelling een retourlabel mee, waardoor je er dus ook tussen stond als je alleen bestelde en alles hield.
Sandert98
7 juni 2018 16:10
Vorige week had ik dit ook opgemerkt. Vooral omdat er bij mijn retourzending in Track&Trace een verkeerde naam vermeld stond in de PostNL app. Ik woon in Zwolle, maar er stond voor mij een compleet onbekende naam met adres uit de Randstad bij. Hierna heb ik in de URL ook de opeenvolgende nummers geprobeerd, met steeds retourzendingen van Zalando met complete namen etc.
Hierover heb ik Zalando gebeld. Enige wat ik als antwoord kreeg 'Maakt u zich geen zorgen'. Had het op dat moment druk en heb er dus geen verdere energie in gestoken. Mooi om te zien dat dit wel is opgepakt ondertussen en is aangepast.
Mawlana
@Sandert987 juni 2018 17:05
De foutieve afzender triggerde mij ook even om die URL aan te passen...
Eskimotje
@Sandert987 juni 2018 19:43
Verkeerde naam erbij, is waarschijnlijk een fout bij post.nl, schijnt dat ze daar makkelijk kunnen frauderen, loopt er nu eentje bij custom afdeling met mijn Nike achtige schoenen rond, daar in dat gebouw.
Wat hadden ze gedaan; de track en tracé nummer gekoppeld aan een barcode gekoppeld van een jaar eerder die al gebruikt was, dus zegt het systeem...is al bezorgd...zij kunnen dus zelf een bezorgd pakketje waar naam en toenaam van een klant van een jaar eerder in jou nog te bezorgen track en tracé nummer zetten..
Als je praat over misbruik persoonsgegevens en fraude..
Melding van gemaakt via chat, ik moest volgende dag nog een keer chatten werd mij geadviseerd, kreeg een chat met iemand met de naam minne, die geen zin had om mijn gegevens op te zoeken en maar afzender moest vragen klacht of onderzoek in te stellen bij Postnl...
MT08
7 juni 2018 15:33
Dit is nogal oud nieuws want dit is de laatste ~20 jaar al mogelijk, sinds je met een trackingcode+postcode online kon zoeken. Daarom moeten trackingcodes ook random zijn en niet opvolgend worden uitgegeven.

Dit is dus gewoon een (denk/programmer) fout van Zalando om opvolgende trackingcodes te gebruiken.

Je krijgt een range van trackingcodes van PostNL en moet ze dus random uitgeven. Dat was vroeger ook al het geval met de voorgedrukte PostNL biljetten
Kees
@MT087 juni 2018 15:48
Het is niet alleen zalando, maar ook andere shops. Bovendien kregen ze van postnl waarschijnlijk niet de mogelijkheid om volledig random nummers te maken, maar gewoon een range met daarin maximaal een miljoen nummers ofzo. Zalando kun je weinig verwijten, behalve dat ze mischien zichzelf als afzender hadden moeten zetten in plaats van de klant.
Mawlana
@Kees7 juni 2018 15:53
Van Coolblue en bol.com weet ik dat ze zichzelf als afzender zetten. Ik vraag me dus af of zij dit al wisten of dat ze daar geen zin hadden om persoonlijke retourlabels aan te maken. :P Alhoewel, op hun retourlabels staat het ordernummer wel vermeld geloof ik.
Kees
@Mawlana7 juni 2018 15:57
Ik las dat inderdaad in je mail aan onze redactie ;)

Grote kans dat iemand daar het gezien heeft en dacht 'dat is niet zo handig van ons' en het op deze manier heeft gefixt en er niet bij stil heeft gestaan dat het eenvoudig te raden nummers waren en/of dat het bij andere bedrijven dan ook gebeurde.
ACC
7 juni 2018 17:03
Serieus? 2 dagen geleden? Ik heb dit meer dan twee maanden geleden gemeld aan postnl. Ik werd afgewimpeld, ik moest maar contact opnemen met het bedrijf waar ik mijn bestelling had gedaan. Vervolgens gemeld bij AP omdat hier simpelweg sprake was van een datalek en zeker geen lichte. Want stel nou dat je een klant bent van een online apotheek en je stuurt iets terug? Dan zie je opeens andere naw-gegevens met een medisch smaakje. Hierdoor ook geen contact opgezocht met de media. Blijkbaar niks mee gedaan al die tijd. En dan wordt de media opgezocht en is het binnen 2 dagen gefixt? 8)7

Edit: dit was overigens niet bij alleen Zalando, maar ook andere webshops, zelfs die naar het buitenland!

[Reactie gewijzigd door ACC op 7 juni 2018 17:15]

Mawlana
@ACC7 juni 2018 17:08
Ik heb dit dinsdagmiddag gemeld bij de Functionaris Gegevensbescherming van PostNL. Woensdagochtend heb ik hen een iets uitgebreide e-mail gestuurd met daarbij enkele redacties op cc, een paar uur later werd ik al benaderd door de Cyber Security Office van PostNL IT.

Gisteravond hebben ze het probleem opgelost.
luuj
7 juni 2018 15:13
Dat zoiets niet eerder is opgemerkt, deze manier van achterhalen van andermans persoonsgegevens is toch wel erg simpel en al eerder aangetoond lek op andere websites.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee