automatisch ingelogd na delen van link uit mail?

Staat me vaag iets van bij dat ik zoiets wel eens eerder heb gelezen hier. Maar voor een goede discussie, is dit iets wat je kunt repliceren?

“Dit kan niet” bedoelen ze denk ik “dit hoort niet te kunnen” 😂
Soms zijn het bugs in de caching waarbij de sessie niet gechecked wordt en waar je soms inderdaad de sessie meekrijgt omdat de headers ook gecached worden.

[ Voor 51% gewijzigd door BCC op 19-11-2025 12:50 ]

Ik zie twee opties:

Gepersonaliseerde link, met een stukje info over product en je naam. Wellicht staat er info in de link?

Of een link met een nog steeds geldige sessie ID en dan ‘log’ je automatisch met die link in. Dat kom ik vaker tegen en werkt op zich goed en is klantvriendelijk, maar zou wel moeten verlopen.

Je hebt zelf browser met inprivate venster dus je kunt het zelf proberen natuurlijk. En dus de url bekijken. Zijn vast meer redenen te bedenken waarom dit zo werkt.. en waarom het wellicht niet zo zou moeten werken.

Misschien wel by-design. Dat je vriend alsnog wel het wachtwoord in moet voeren bij echt bestellen is dan de veiligheid dat je niet zomaar kan bestellen.

Elke oplossing heeft een andere afweging tussen geheimhouding toegankelijkheid en volledigheid (cia triangle). Deze ligt bij een webshop anders dan bij een bank.

KNed schreef op woensdag 19 november 2025 @ 12:56:
Misschien wel by-design. Dat je vriend alsnog wel het wachtwoord in moet voeren bij echt bestellen is dan de veiligheid dat je niet zomaar kan bestellen.

Juist, maar bestellen is maar 1 ding. Wat kan hij zien in persoonsgegevens, historie, voorkeuren, opgeslagen artikelen, wachtwoord aanpassen, ...? Ik zou het niet gek vinden als je met je vriend hier een gedocumenteerde casus van maakt en ik zou het helemáál niet gek vinden als de webshop je hiervoor op z'n minst heel hartelijk zou bedanken.

KNed schreef op woensdag 19 november 2025 @ 12:56:
Misschien wel by-design. Dat je vriend alsnog wel het wachtwoord in moet voeren bij echt bestellen is dan de veiligheid dat je niet zomaar kan bestellen.

Maar nog steeds de bestelgeschiedenis, verlanglijstje, adresgegevens zien. Privacy-probleem.
Extra zaken in de winkelwagen zetten en meteen even het bezorgadres aanpassen. Financieel risico.

F_J_K schreef op woensdag 19 november 2025 @ 14:16:
[...]

Maar nog steeds de bestelgeschiedenis, verlanglijstje, adresgegevens zien. Privacy-probleem.
Extra zaken in de winkelwagen zetten en meteen even het bezorgadres aanpassen. Financieel risico.

Uit de OP:

gelukkig wordt er wel om een wachtwoord gevraagd zodra ie verder klikt naar de bestellingsgeschiedenis en naar mijn gegevens,

@bluebit Kan hij de bestelling ook namens jou afmaken vanuit het winkelmandje, of moet hij dan ook je wachtwoord invoeren?

F_J_K schreef op woensdag 19 november 2025 @ 14:16:
[...]

Maar nog steeds de bestelgeschiedenis, verlanglijstje, adresgegevens zien. Privacy-probleem.
Extra zaken in de winkelwagen zetten en meteen even het bezorgadres aanpassen. Financieel risico.

Dat staat er niet, in de startpost staat dat ook daar eerst om een wachtwoord gevraagd wordt.

Dit lijkt mij inderdaad by design om het inloggen met 1 stap te verkorten en niks mis mee. De link komt tenslotte uit zijn persoonlijke mail.

In dit geval een beetje vreemd? Ja, maar ik zie er geen echte issue in. TS deelt iets uit zijn mail wat aan hem persoonlijk gericht is

[ Voor 16% gewijzigd door kleautviool op 19-11-2025 14:26 ]

F_J_K schreef op woensdag 19 november 2025 @ 14:16:
[...]

Maar nog steeds de bestelgeschiedenis, verlanglijstje, adresgegevens zien. Privacy-probleem.
Extra zaken in de winkelwagen zetten en meteen even het bezorgadres aanpassen. Financieel risico.

Klopt, maar dat is dit geval wel een toegang die alleen met OP gedeeld werd. Op heeft die toegang aan iemand anders gegeven door de link te delen.

Ben het er mee eens dat dit onverwacht en ongewenst is natuurlijk.

Jazzy schreef op woensdag 19 november 2025 @ 12:46:
Staat me vaag iets van bij dat ik zoiets wel eens eerder heb gelezen hier. Maar voor een goede discussie, is dit iets wat je kunt repliceren?

Er staat mij ook iets bij dat ik het hier eerder heb gelezen.

@bluebit wat gebeurd er als je met een ander account ingelogd bent en je opent deze link? Staat dan je naam daar ook? Kan het niet alleen zijn dat ze je naam aanpassen omdat ze je op basis van de UTM in de link 'herkennen'. Er zit belachelijk veel tracking in die mails van Coolblue namelijk.

Wild Chocolate schreef op woensdag 19 november 2025 @ 14:23:
Uit de OP:

My bad. En huh, dat wordt niet gevraagd bij 'normaal inloggen'. Daar zit dan wat logica achter. Verdient sowieso aandacht.

bluebit schreef op woensdag 19 november 2025 @ 13:12:
Ik werk in de financiële sector, dus ik ben me er van bewust dat ik mogelijk verpest ben door mijn werkomgeving waar alle alarmbellen afgaan en lampen op rood springen zodra je ook maar de indruk krijgt dat je als iemand anders ingelogd bent.

Die context is wel echt anders. Bij een bank wil je alle schijn voorkomen omdat vertrouwen het allerbelangrijkste is. Een retailer zoekt een balans tussen het zo makkelijk mogelijk maken zonder onacceptabele risico's te nemen dat het mis gaat. In dat kader eigenlijk best logisch dat je een link gemaild krijgt en op basis van de link je bestelgescheidenis kan zien maar je wel moet inloggen om een bestelling te plaatsen. Er zijn genoeg partijen die vinden dat toegang tot een email genoeg zekerheid is om te bewijzen wie je bent en je gewoon een linkje sturen om in te loggen.

Volgens mij doet BOL het ook zo. Daar ben je standaard "ingelogd" in termen als dat je je naam ziet staan en dingen in je winkelmandje kan zetten. Maar als je via een link erin komt of als je te lang iets echt niet besteld hebt oid dan moet je voor alle persoonlijke gegevens of bestellen eerst weer echt inloggen met je inlogmethode

bluebit schreef op woensdag 19 november 2025 @ 12:54:
[...]


ja, even wat meer specificaties:
Het betrof een bestelling in december 2024.
In de bevestigingsmail van de bestelling staat ook een afbeelding en naam van het product (met url erin). het gaat om die url die er als volgt uitziet (ID's vervangen door hoofdlettertekst):

https://www.coolblue.nl/p...HIER_STAAT_NOG_EEN_NUMMER

De coolblue medewerker ziet het issue, die vriend van me ziet het issue, en ik zie het issue ook als ik het op mijn werk laptop test.

Ja er worden zo te zien inderdaad diverse stukje info in de url meegezonden om je op die niet-ingelogde-wel-gepersonaliseerde pagina te laten landen. Op zich - niet echt een datalek te noemen, maar ook niet handig dat die ID's blijkbaar niet verlopen en wellicht uniek voor de bestelling zijn en blijven. Dank voor het delen, zat mijn eigen Coolblue bestellingen al te bekijken. Op zich als je altijd moet inloggen is het eigenlijk net ff mooier qua privacy, maar iets minder klantvriendelijk omdat je niet meteen die basis info ziet. Geeft wellicht een heel klein beetje weg wie het meest te zeggen heeft bij Coolblue: de marketing baas of de FG/ (C)ISO

[ Voor 4% gewijzigd door NiGeLaToR op 19-11-2025 15:07 ]

Je overdrijft niet, @bluebit en het is nog erger, die vriend van jou kan ook je verlanglijstje bekijken en er ook dingen aan toevoegen of verwijderen. Mijns inziens toch wel een security risico.

Jazzy schreef op woensdag 19 november 2025 @ 14:42:
Ben het er mee eens dat dit onverwacht en ongewenst is natuurlijk.

Niet alleen dit, maar dit is gewoon een datalek, doordat de ander nu de gegevens kan zien en wijzigen, maar ook onder deze naam bestellingen kan plaatsen, maar het afleveradres wel op diens eigen adres zetten.

[ Voor 28% gewijzigd door CH4OS op 19-11-2025 16:02 ]

bluebit schreef op woensdag 19 november 2025 @ 12:54:
[...]


ja, even wat meer specificaties:
Het betrof een bestelling in december 2024.
In de bevestigingsmail van de bestelling staat ook een afbeelding en naam van het product (met url erin). het gaat om die url die er als volgt uitziet (ID's vervangen door hoofdlettertekst):

https://www.coolblue.nl/p...HIER_STAAT_NOG_EEN_NUMMER

De coolblue medewerker ziet het issue, die vriend van me ziet het issue, en ik zie het issue ook als ik het op mijn werk laptop test.

Tip voor de volgende keer, alleen de URL delen dat eindigt met .html (Voor CoolBlue links en voor zolang men deze extensie gebruikt). Dan weet je zeker dat je de ander "gewoon" naar de productpagina stuurt, maar men in de eigen (of een nieuwe) sessie terecht komt en niet de jouwe.

Om het wat concreter te maken met een voorbeeld, een volgende keer dus alleen https://www.coolblue.nl/p...samsung-ww90cgc04aae.html delen.

CH4OS schreef op woensdag 19 november 2025 @ 16:05:
[...]

Tip voor de volgende keer, alleen de URL delen dat eindigt met .html (Voor CoolBlue links en voor zolang men deze extensie gebruikt). Dan weet je zeker dat je de ander "gewoon" naar de productpagina stuurt, maar men in de eigen (of een nieuwe) sessie terecht komt en niet de jouwe.

Om het wat concreter te maken met een voorbeeld, een volgende keer dus alleen https://www.coolblue.nl/p...samsung-ww90cgc04aae.html delen.

Dat is wel de compleet omgedraaide wereld.

'Secure by default' moet de basisprincipe zijn. Als één URL toegang kan geven tot een account van iemand (ook al is het beperkt tot een wensenlijstje en winkelwagen) is het gewoon 'ruk' bedacht en of ontwikkeld.

Tenslotte kun je niet van iedere leek verwachten dat zij weten welk deel van de URL weggehaald moet worden.

CH4OS schreef op woensdag 19 november 2025 @ 16:11:
[...]
Zeker, maar dat betekend niet dat je er zelf niets aan hoeft te doen. Want waarom zou je meer dan het nodige delen?

Ik zeg niet dat je er zelf niets aan hoeft te doen. Maar mijn moeder van 70 die een wasmachine doorstuurt naar haar buurman, begrijpt niet wat een UTM-tag is of wat het überhaupt doet. De verantwoordelijkheid ligt in dit geval bij de partij die de website bouwt, niet bij de gebruiker. Je mag als consument verwachten dat links uit een bestelbevestiging veilig zijn om te delen, zeker wanneer ze er op het eerste gezicht volledig onschuldig uitzien.

Omdat UTM-parameters doorgaans uitsluitend bedoeld zijn voor analytics en tracking-doeleinden, niet voor authenticatie of een soort van 'sessiebeheer'. Het idee dat een willekeurige URL-parameter de indruk kan wekken dat iemand in een account is ingelogd, of zelfs gedeeltelijke toegang geeft tot functies zoals een winkelwagen of verlanglijstje die normaal afgeschermd zijn. Wijkt gewoon sterk af van bekende security-principes. Sterker nog, een UTM-tag zou hier niet eens voor gebruikt mogen worden.

Nemean schreef op woensdag 19 november 2025 @ 16:19:
Ik zeg niet dat je er zelf niets aan hoeft te doen. Maar mijn moeder van 70 die een wasmachine doorstuurt naar haar buurman, begrijpt niet wat een UTM-tag is of wat het überhaupt doet. De verantwoordelijkheid ligt in dit geval bij de partij die de website bouwt, niet bij de gebruiker. Je mag als consument verwachten dat links uit een bestelbevestiging veilig zijn om te delen, zeker wanneer ze er op het eerste gezicht volledig onschuldig uitzien.

Omdat UTM-parameters doorgaans uitsluitend bedoeld zijn voor analytics en tracking-doeleinden, niet voor authenticatie of een soort van 'sessiebeheer'. Het idee dat een willekeurige URL-parameter de indruk kan wekken dat iemand in een account is ingelogd, of zelfs gedeeltelijke toegang geeft tot functies zoals een winkelwagen of verlanglijstje die normaal afgeschermd zijn. Wijkt gewoon sterk af van bekende security-principes. Sterker nog, een UTM-tag zou hier niet eens voor gebruikt mogen worden.

Zie ook mijn edit. Ook als je niet weet wat je deelt blijft het dus - zoals je hier ook ziet - raadzaam om het uiterst minimale te delen. Dat niet iedereen dat doet snap ik en ik ben het volledig met je eens dat een webwinkel hier verantwoordelijk voor is, maar nogmaals, dat betekend niet dat je je als klant/gebruiker maar voor de domme moet houden en meer dan alleen het uiterste nodige deelt om bij de informatie te komen die je delen wilt.

Juist als je niet weet wat je exact deelt. Feit blijft nu eenmaal dat als je als persoon zo klein mogelijk deelt, het risico op dit soort zaken ook aanzienlijk verkleint. Het beschermen van jouw gegevens (wat het winkelmandje en de wenslijst ook is!) is niet alleen de verantwoordelijkheid van de winkel he.

[ Voor 7% gewijzigd door CH4OS op 19-11-2025 16:35 ]

CH4OS schreef op woensdag 19 november 2025 @ 16:28:
[...]
Zie ook mijn edit. Ook als je niet weet wat je deelt blijft het dus - zoals je hier ook ziet - raadzaam om het uiterst minimale te delen. Dat niet iedereen dat doet snap ik en ik ben het volledig met je eens dat een webwinkel hier verantwoordelijk voor is, maar nogmaals, dat betekend niet dat je je als klant/gebruiker maar voor de domme moet houden en alleen het uiterste nodige deelt om bij de informatie te komen die je delen wilt. Juist als je niet weet wat je exact deelt. Feit blijft nu eenmaal dat als je als persoon zo klein mogelijk deelt, het risico op dit soort zaken ook aanzienlijk verkleint.

In algemene zin ben ik het met je eens dat gebruikers baat hebben bij een 'minimale deling'-mentaliteit. Vanuit een 'security-awareness' is het slim om zo min mogelijk gevoelige informatie te delen als je niet precies weet wat een URL mogelijk kan doen.

Maar hier zitten wél een paar belangrijke kanttekeningen bij en zeker ook als je dit vanuit een security-perspectief bekijkt.

Security by Design en Least Privilege moeten ten alle tijden leidend moeten zijn. Dat betekent dat een simpele product link die er onschuldig uitziet en die elke gewone consument zonder enige waarschuwing zou kunnen delen nooit gekoppeld mag zijn aan accountcontext of sessie-informatie. Het is niet de taak van de gebruiker om URL-parameters te analyseren of te strippen; het is simpelweg niet realistisch en staat haaks op het principe secure defaults.

Het sluit ook nauw aan op Defense in Depth principe, die aangeeft dat gebruikersfouten niet tot account-exposure mogen leiden (wat vaak genoeg (helaas) wel gebeurd). De infrastructuur moet ontworpen zijn dat dit soort dingen juist geen impact hebben.

Toevallig ben ik momenteel ook bezig met enkele security trainingen en je lees dan ook geregeld dat security nooit mag leunen op onrealistische verwachtingen van eindgebruikers. Tuurlijk mag je als gebruiker voorzichtig zijn maar dat verandert niet waar de root cause ligt en dat is ook te zien aan de vraag van OP. Je hebt gelijk dat zuinig delen risico’s verkleint. Maar het is en blijft cruciaal om te benadrukken dat dit alleen als een soort 'hygiene-maatregel' zal dienen.

@Nemean Ik wil dan ook zeker niet zeggen dat de root cause bij de gebruiker ligt, die ligt immers bij de webshop.

EDIT:
Volgens mij zijn we het gewoon eens met elkaar, maar verwoorden we het verschillend.

[ Voor 28% gewijzigd door CH4OS op 19-11-2025 16:50 ]

CH4OS schreef op woensdag 19 november 2025 @ 16:14:
[...]
Ook dat is gewoon een datalek.

Maar ja, dat lek is TS dan wel zelf...

Ik vind het ook niet de schoonheidsprijs verdienen, maar je kan kennelijk niet echt gegevens inzien, behalve het verlanglijstje. Nu kan TS daar natuurlijk wat interessante dingen op hebben staan, maar het zal niet het eind van de wereld zijn. Wel beter als Coolblue het gewoon aanpast en dergelijke info überhaupt niet in de URL verwerkt, dat wel.

Wild Chocolate schreef op woensdag 19 november 2025 @ 16:53:
Maar ja, dat lek is TS dan wel zelf...

Niet helemaal, het enige verwijt dat je de gebruiker kunt maken is dat die een wenslijst of winkelmandje heeft aangemaakt. Vervolgens ligt de beveiliging van de informatie dat erin zit toch echt bij de winkel.

Ik vind het ook niet de schoonheidsprijs verdienen, maar je kan kennelijk niet echt gegevens inzien, behalve het verlanglijstje. Nu kan TS daar natuurlijk wat interessante dingen op hebben staan, maar het zal niet het eind van de wereld zijn. Wel beter als Coolblue het gewoon aanpast en dergelijke info überhaupt niet in de URL verwerkt, dat wel.

Desalniettemin is het voor de Wet gewoon een datalek, het is informatie van de gebruiker, die niet zomaar beschikbaar zou moeten zijn en al helemaal niet met parameters in de URL die bedoelt zijn voor tracking doeleinden.

@bluebit mooiste is nog als je nu door Id's te wijzigen de info van andere klanten te pakken kunt krijgen.

bluebit schreef op woensdag 19 november 2025 @ 17:09:
[...]
En zoals eerder genoemd, ik denk niet dat er een echt risico is. Maar het feit dat je het gevoel krijgt dat je persoonsinformatie van iemand anders ziet, kan funest zijn voor het vertrouwen in een platform.

Het lijkt mij wel het begin van een risico eigenlijk. Ik vraag me af hoe toestemming tot een wensenlijst wel mogelijk is, maar bestellingen inzien weer niet. Daarbij komt dan gelijk de vraag hoe gemakkelijk zou dit te omzeilen zijn.

Zoals @NiGeLaToR bijvoorbeeld aangeeft, kun je nu ook een willekeurige Coolblue gebruiker te pakken krijgen?

Even een test, een linkje uit mijn mail van coolblue (van 22 juli jl), kijken wat jullie er allemaal mee kunnen:
https://trco.coolblue.nl/...v7mYc_-X6XNsA6eo7V1ZU=414

@MartinMeijerink Aanpassen van verlanglijst en winkelwagen lijkt inderdaad mogelijk maar verder dan dat komt ik (nog) niet...

Als je een vibrator zoekt gaar (nog steeds) het scherm schudden. Maar sexspeeltjes ho-maar...

Dus nu maar een camera met lens in je winkelwagen gedumpt, maar ik kan het niet namens jou bestellen, @MartinMeijerink

"Eerder bekeken door jou" haalt hij wel gewoon uit mijn cookies, zou bijzonder zijn als jullie precies hetzelfde hebben bekeken als ik :-)

Ik zie allemaal dingen in mijn verlanglijstje en winkelwagen nu
En het enige wat je nodig hebt om in andermans verlanglijst/winkelwagen te komen is het cbirid, dus het kan nog veel korter: https://coolblue.nl?cbirid=6441BCA441322A962D3F7F0E1A725730

/edit: het was even leuk om ermee te spelen, maar ik heb mijn cbirid in deze post en de post hierboven toch maar even aangepast

[ Voor 21% gewijzigd door MartinMeijerink op 19-11-2025 18:29 ]

Ik vind het oprecht ook niet echt handig van coolblue, maar ik weet bijna zeker dat dit issue bekend is bij ze en ze hierin een weloverwogen keuze maken tussen gebruiksvriendelijkheid en security.

En mooi dat hier termen rondgaan als security by design, least privilege, defense in depth etc. Securitymaatregelen hebben altijd een context waarin ze genomen worden. En daar moet je security afwegen tegen kosten, (verlies van) omzet, gebruiksgemak etc. Als je het een beetje doorvoert kun je ook zeggen dat een webshop uberhaupt een risico is, want die is verbonden met het internet. En ze dwingen ook geen MFA of yubikeys af op accounts, dus dat is ook eigenlijk niet goed genoeg.

ps net ook getest, maar enige dat lekt is je voornaam. Zodra ik iets anders wil doen dan het verlanglijstje bekijken / wijzigen, moet ik alsnog inloggen. Bevestigt voor mij des te meer dat coolblue hier echt wel over heeft nagedacht.

Het lijkt mij niet goed als anderen producten in jouw winkelwagen en verlanglijst kunnen gooien inderdaad. Zit daar eigenlijk een limiet aan? Straks zitten er 100+ artikelen in mijn winkelwagen die ik dan per stuk moet gaan verwijderen of zo. Het lijkt me toch niet ideaal, toch wel iets voor Coolblue om op te lossen dan. Ja, je hebt dus nog wel het 'cbirid' nodig, maar als iemand dat eenmaal heeft. Vreemd ook dat de klantenservice medewerker het probleem wel kan zien maar er verder niks mee doet, zou diegene door moeten zetten naar security of zo. Bij Amazon en Bol lijkt dit trucje bij mij in ieder geval niet mogelijk.

BytePhantomX schreef op woensdag 19 november 2025 @ 19:35:
En mooi dat hier termen rondgaan als security by design, least privilege, defense in depth etc. Securitymaatregelen hebben altijd een context waarin ze genomen worden. En daar moet je security afwegen tegen kosten, (verlies van) omzet, gebruiksgemak etc. Als je het een beetje doorvoert kun je ook zeggen dat een webshop uberhaupt een risico is, want die is verbonden met het internet. En ze dwingen ook geen MFA of yubikeys af op accounts, dus dat is ook eigenlijk niet goed genoeg.

Ik ben het met je eens dat security altijd draait om context en balans. Niet alles hoeft tot het uiterste beveiligd te worden (om toch met termen te gooien: security through obscurity), en maatregelen kunnen nu eenmaal impact hebben op kosten en gebruiksgemak. Maar dit specifieke geval valt naar mijn persoonlijke mening niet onder dat soort afwegingen.

Een productlink uit een bestelbevestiging mag nooit accountcontext of sessie-informatie tonen, laat staan dat iemand via zo’n link items kan toevoegen aan jouw wensenlijst of winkelwagen. Dat opent de deur naar manipulatie: wat weerhoudt iemand ervan om iets aan jouw winkelwagen toe te voegen op het moment dat jij wilt afrekenen? Dit staat volledig los van “hoe ver je security wilt doorvoeren”, en raakt aan fundamentele webapplicatiebeveiliging die al decennia standaard is.

Bovendien neigt dit sterk naar user enumeration. Als een ID of parameter in een productlink gedrag of accountcontext beïnvloedt, dan is het slechts een kwestie van raden of itereren tot je informatie of toegang krijgt die je niet zou mogen hebben.

@Nemean het zou ook niet mijn keuze zijn, en ik snap jouw argumenten heel goed, alleen security is geen absolute waarheid en wat wij vinden zijn ook maar meningen. Maar vind het wel boeiend dat een club als Coolblue, die alles meet en alles analyseert, hier deze keuze in maakt. Het lijkt mij namelijk een hele bewuste keuze en ik zou super graag de risicoanalyse en data zien die achter die keuze liggen. Mijn vermoeden is dat dit maar voor een hele kleine groep (tweakers) een issue is en de rest van de klanten er 'een glimlach' van krijgen als ze hun naam zien als ze de website openen.

Daarnaast, was is het grootste risico nu eigenlijk voor een webshop?
- lekken van data? Veel meer dan een woonadres slaan ze niet op bij mijn weten. Misschien je bestelgeschiedenis of je wensenlijst, alleen leveren ze niet echt spullen die normaliter vertrouwelijk zijn voor mensen. En in deze situatie gaat het om een uitzondering waarbij er maximaal van 1 persoon data zou lekken. Het is niet dat de hele klant database op straat komt te liggen.
- bestellen van producten op jouw naam en jouw kosten en een ander aflever adres. Dat is iets wat bij mijn weten in de praktijk wel gebeurd. Daar kun je echter met monitoring prima op reageren voor het mis gaat en orders voorkomen. Danwel achteraf netjes met de klant oplossen.Overigens gebeurd dat vaak met diensten als Klarna en bij mijn weten biedt Coolblue dat niet eens aan (misschien wel om die reden)

Juist het feit dat ze m.i. hier een hele bewust keuze in maken geeft mij meer vertrouwen en het gevoel dat ze security heel serieus nemen en er goede risicoafwegingen worden gemaakt. Dat dit niet helemaal passen bij hoe ik er over denk, wil niet zeggen dat het slecht is.

BytePhantomX schreef op donderdag 20 november 2025 @ 10:21:
- lekken van data? Veel meer dan een woonadres slaan ze niet op bij mijn weten.

En een woonadres is geen data die beschermd is onder de AVG? Het is toch niet alsof dit nieuwe wetgeving is, maar echt ingeburgered is het nog niet

Dido schreef op donderdag 20 november 2025 @ 10:33:
[...]

En een woonadres is geen data die beschermd is onder de AVG? Het is toch niet alsof dit nieuwe wetgeving is, maar echt ingeburgered is het nog niet

Dat stel ik ook niet ter discussie, maar ook hier kun je stellen dat de kans dat het voordoet ontzettend klein is en de impact ook nog eens klein. Volgens principes van risicomanagement hoef je dan geen extra maatregelen te nemen. En mocht het zich voordoen dan kun je netjes de persoon informeren, vastleggen in je eigen register en heel misschien moet je nog melden bij de AP (ik verwacht overigens dat dit niet eens het geval zal zijn). Je geeft daarnaast de klant een tegoedbon en het probleem is opgelost.

Het is heel fijn om principes te hebben, maar op basis van die principes kan geen enkele onderneming werken. Ondernemen is m.i. (verantwoord) risico's nemen. En wat verantwoord is verschillen de meningen over, maar als ik naar de resultaten van Coolblue kijk, doen ze toch vast iets goed. Daarnaast zijn er de nodige webshops met datalekken voorbij gekomen waarbij hele klantenbestanden zijn gelekt. of waarbij criminelen allerlei vormen van fraude konden plegen. Bij mijn weten is Coolblue nog nooit zo in het nieuws geweest.

[ Voor 28% gewijzigd door BytePhantomX op 20-11-2025 10:44 ]

bluebit schreef op woensdag 19 november 2025 @ 21:06:
Het is absoluut denkbaar dat ik als consument dat linkje gebruik om gezin/vrienden/familie te laten weten wat ik gekocht heb. Toch twijfelachtig dat er data van mij beschikbaar is dan op machines waar echt geen info van mij opgeslagen is. Wat als ik iets persoonlijks in het winkelmandje of wishlist heb staan. Het voelt en smaakt allemaal een beetje vies.

Het mag op zijn minst duidelijk gemaakt worden dat je deze links niet moet gaan doorsturen. Vanuit Coolblue snap ik het willen wegnemen van barrières want dat is in de e-commerce en online payments enorm belangrijk. En er is dus wel over nagedacht in de zin dat je niet 100% ingelogd bent en er nog een credential prompt volgt. Maar het mag nog net even iets verder gaan.

En inderdaad: als dit bij een bank zou gebeuren dan is de kans groot dat het een rel wordt. Bij e-commerce is voor veel mensen de verwachting van beveiliging en privacy blijkbaar minder groot.

Als coolblue zijnde zou ik die link laten redirecten naar een url zonder het id erin (maar die opslaan in de cookie)

Dan blijft de link marketing technisch functioneel maar verklein je de kans dat mensen hem per ongeluk doorsturen tenzij die direct uit de mail wordt gepakt