PostNL heeft een wijziging aan zijn website doorgevoerd waardoor het niet meer mogelijk is om de voornaam en adresgegevens van klanten van webshops op te vragen door een getal in de url te veranderen. Deze mogelijkheid bleek te bestaan bij retourzendingen.
De mogelijkheid om de zogenaamde 3S-code van een zending in de PostNL-url aan te passen werd opgemerkt door een oplettende tweaker, die hier twee dagen geleden melding van maakte. Hij kwam erachter dat het aanpassen van de url mogelijk was bij een retourzending naar Zalando. De webshop gebruikt voor alle retourzendingen dezelfde postcode voor het bezorgadres, waardoor de enige onderscheidende factor tussen de zendingen de 3S-code van PostNL is.
Door de waarde van die code in de url bijvoorbeeld steeds met één cijfer te verhogen, was het mogelijk om de voornaam en adresgegevens van andere klanten van de webshop te achterhalen en zo in principe de gegevens van een groot aantal personen te verkrijgen. De url ziet er als volgt uit: /track-en-trace/3S-code/NL/postcode. Zalando laat in een reactie weten dat 'de gegevens en de veiligheid van zijn klanten essentieel zijn' voor het bedrijf.
Een woordvoerder van PostNL zegt dat het inmiddels niet meer mogelijk is om op de beschreven manier gegevens in te zien. Er wordt nu alleen nog een code in plaats van de naam getoond en ook de adresgegevens zijn weggehaald. Dit geldt niet alleen voor Zalando, maar ook voor andere webshops die met hetzelfde verschijnsel te maken hadden. PostNL laat weten de desbetreffende webshops op de hoogte te hebben gesteld.
Ook heeft het bedrijf melding gedaan bij de Autoriteit Persoonsgegevens. Er zouden geen aanwijzingen zijn dat er misbruik is gemaakt van de mogelijkheid.
Situatie voor de wijziging (links) en na. De zwarte blokken dekken naam en adresgegevens af.