automatisch ingelogd na delen van link uit mail? - Privacy en beveiliging

woensdag 19 november 2025 12:44

Acties:

Fear the bunny

Topicstarter

Overdrijf ik nu als ik dit een security risico vind?

een vriend van me vroeg vroeg me vanochtend welke wasmachine ik gekocht heb (ja,ja, middelbare leeftijd, spannende zaken en zo), dus ik graaf even in mijn mail, zie de bevestigingsmail van coolblue, open deze, klik op het linkje in de mail naar het product wat ik besteld heb, kopieer de url uit de browser en stuur die link naar die vriend van me via telegram.

hij klikt op het linkje en ziet vervolgens het product en rechtsboven "Hallo bluebit" rechtsboven staan alsof ie ingelogd is in mijn account. Hij gooit iets in het winkelmandje, ik ververs mijn pagina en zie wat hij in het winkelmandje gegooid heeft. gelukkig wordt er wel om een wachtwoord gevraagd zodra ie verder klikt naar de bestellingsgeschiedenis en naar mijn gegevens,

ik heb coolblue uiteraard geinformeerd, de reactie is:
- dat kan niet
- jij moet even uitloggen en dan komt het goed

wellicht komt het omdat ik in de financiele wereld werkt, maar ik denk dat mijn bedrijf redelijk op de kop zou staan als mensen alleen al de indruk krijgen dat ze op iemand anders account ingelogd zijn. of overdrijf ik nu???

I hope I never get so old I get religious

woensdag 19 november 2025 12:46

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Staat me vaag iets van bij dat ik zoiets wel eens eerder heb gelezen hier. Maar voor een goede discussie, is dit iets wat je kunt repliceren?

Exchange en Office 365 specialist. Mijn blog.

woensdag 19 november 2025 12:47

Acties:

BCC

“Dit kan niet” bedoelen ze denk ik “dit hoort niet te kunnen” 😂
Soms zijn het bugs in de caching waarbij de sessie niet gechecked wordt en waar je soms inderdaad de sessie meekrijgt omdat de headers ook gecached worden.

[ Voor 51% gewijzigd door BCC op 19-11-2025 12:50 ]

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

woensdag 19 november 2025 12:50

Acties:

NiGeLaToR

Ik zie twee opties:

Gepersonaliseerde link, met een stukje info over product en je naam. Wellicht staat er info in de link?

Of een link met een nog steeds geldige sessie ID en dan ‘log’ je automatisch met die link in. Dat kom ik vaker tegen en werkt op zich goed en is klantvriendelijk, maar zou wel moeten verlopen.

Je hebt zelf browser met inprivate venster dus je kunt het zelf proberen natuurlijk. En dus de url bekijken. Zijn vast meer redenen te bedenken waarom dit zo werkt.. en waarom het wellicht niet zo zou moeten werken.

KOPHI - Klagen Op Het Internet podcast. Luister hier! – bejaardenexport, WEF en de LIDL kassa kwamen al voorbij. Meepraten als gast? DM mij!

woensdag 19 november 2025 12:54

Acties:

bluebit

Fear the bunny

Topicstarter

Jazzy schreef op woensdag 19 november 2025 @ 12:46:
Staat me vaag iets van bij dat ik zoiets wel eens eerder heb gelezen hier. Maar voor een goede discussie, is dit iets wat je kunt repliceren?

ja, even wat meer specificaties:
Het betrof een bestelling in december 2024.
In de bevestigingsmail van de bestelling staat ook een afbeelding en naam van het product (met url erin). het gaat om die url die er als volgt uitziet (ID's vervangen door hoofdlettertekst):

https://www.coolblue.nl/p...HIER_STAAT_NOG_EEN_NUMMER

De coolblue medewerker ziet het issue, die vriend van me ziet het issue, en ik zie het issue ook als ik het op mijn werk laptop test.

I hope I never get so old I get religious

woensdag 19 november 2025 12:56

Acties:

KNed

Misschien wel by-design. Dat je vriend alsnog wel het wachtwoord in moet voeren bij echt bestellen is dan de veiligheid dat je niet zomaar kan bestellen.

woensdag 19 november 2025 13:12

Acties:

bluebit

Fear the bunny

Topicstarter

Ik werk in de financiële sector, dus ik ben me er van bewust dat ik mogelijk verpest ben door mijn werkomgeving waar alle alarmbellen afgaan en lampen op rood springen zodra je ook maar de indruk krijgt dat je als iemand anders ingelogd bent.
Ik heb nog even getest en alle andere ingangen lijken wel dicht te zitten, dus ik denk dat je niet echt kwaad kunt.

I hope I never get so old I get religious

woensdag 19 november 2025 13:37

Acties:

BCC

Elke oplossing heeft een andere afweging tussen geheimhouding toegankelijkheid en volledigheid (cia triangle). Deze ligt bij een webshop anders dan bij een bank.

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

woensdag 19 november 2025 13:50

Acties:

sjroorda

KNed schreef op woensdag 19 november 2025 @ 12:56:
Misschien wel by-design. Dat je vriend alsnog wel het wachtwoord in moet voeren bij echt bestellen is dan de veiligheid dat je niet zomaar kan bestellen.

Juist, maar bestellen is maar 1 ding. Wat kan hij zien in persoonsgegevens, historie, voorkeuren, opgeslagen artikelen, wachtwoord aanpassen, ...? Ik zou het niet gek vinden als je met je vriend hier een gedocumenteerde casus van maakt en ik zou het helemáál niet gek vinden als de webshop je hiervoor op z'n minst heel hartelijk zou bedanken.

woensdag 19 november 2025 14:16

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

KNed schreef op woensdag 19 november 2025 @ 12:56:
Misschien wel by-design. Dat je vriend alsnog wel het wachtwoord in moet voeren bij echt bestellen is dan de veiligheid dat je niet zomaar kan bestellen.

Maar nog steeds de bestelgeschiedenis, verlanglijstje, adresgegevens zien. Privacy-probleem.
Extra zaken in de winkelwagen zetten en meteen even het bezorgadres aanpassen. Financieel risico.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 19 november 2025 14:23

Acties:

Wild Chocolate

F_J_K schreef op woensdag 19 november 2025 @ 14:16:
[...]

Maar nog steeds de bestelgeschiedenis, verlanglijstje, adresgegevens zien. Privacy-probleem.
Extra zaken in de winkelwagen zetten en meteen even het bezorgadres aanpassen. Financieel risico.

Uit de OP:

gelukkig wordt er wel om een wachtwoord gevraagd zodra ie verder klikt naar de bestellingsgeschiedenis en naar mijn gegevens,

@bluebit Kan hij de bestelling ook namens jou afmaken vanuit het winkelmandje, of moet hij dan ook je wachtwoord invoeren?

iRacing Profiel

woensdag 19 november 2025 14:23

Acties:

kleautviool

F_J_K schreef op woensdag 19 november 2025 @ 14:16:
[...]

Maar nog steeds de bestelgeschiedenis, verlanglijstje, adresgegevens zien. Privacy-probleem.
Extra zaken in de winkelwagen zetten en meteen even het bezorgadres aanpassen. Financieel risico.

Dat staat er niet, in de startpost staat dat ook daar eerst om een wachtwoord gevraagd wordt.

Dit lijkt mij inderdaad by design om het inloggen met 1 stap te verkorten en niks mis mee. De link komt tenslotte uit zijn persoonlijke mail.

In dit geval een beetje vreemd? Ja, maar ik zie er geen echte issue in. TS deelt iets uit zijn mail wat aan hem persoonlijk gericht is

[ Voor 16% gewijzigd door kleautviool op 19-11-2025 14:26 ]

woensdag 19 november 2025 14:42

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

F_J_K schreef op woensdag 19 november 2025 @ 14:16:
[...]

Maar nog steeds de bestelgeschiedenis, verlanglijstje, adresgegevens zien. Privacy-probleem.
Extra zaken in de winkelwagen zetten en meteen even het bezorgadres aanpassen. Financieel risico.

Klopt, maar dat is dit geval wel een toegang die alleen met OP gedeeld werd. Op heeft die toegang aan iemand anders gegeven door de link te delen.

Ben het er mee eens dat dit onverwacht en ongewenst is natuurlijk.

Exchange en Office 365 specialist. Mijn blog.

woensdag 19 november 2025 14:50

Acties:

Nemean

3:16

Jazzy schreef op woensdag 19 november 2025 @ 12:46:
Staat me vaag iets van bij dat ik zoiets wel eens eerder heb gelezen hier. Maar voor een goede discussie, is dit iets wat je kunt repliceren?

Er staat mij ook iets bij dat ik het hier eerder heb gelezen.

@bluebit wat gebeurd er als je met een ander account ingelogd bent en je opent deze link? Staat dan je naam daar ook? Kan het niet alleen zijn dat ze je naam aanpassen omdat ze je op basis van de UTM in de link 'herkennen'. Er zit belachelijk veel tracking in die mails van Coolblue namelijk.

woensdag 19 november 2025 14:54

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Wild Chocolate schreef op woensdag 19 november 2025 @ 14:23:
Uit de OP:

My bad. En huh, dat wordt niet gevraagd bij 'normaal inloggen'. Daar zit dan wat logica achter. Verdient sowieso aandacht.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 19 november 2025 14:56

Acties:

bluebit

Fear the bunny

Topicstarter

nee, ik krijg de indruk dat alle ingangen wel dicht staan. Dat gezegd hebbende, ik denk dat ik de meeste moeite heb met het gegeven dat het LIJKT alsof iemand onder mijn account kan inloggen via de link.
De opmerking dat de link uit een mail komt die aan mij persoonlijk gericht is, snap ik wel. Maar ik zie geen reden waarom de shop me automatisch wilt inloggen als ik in die mail op het product klik wat ik besteld heb. er is niets persoonlijks aan die informatie, het is alleen maar " je hebt dit product besteld".

Voor de goede orde: die link stuurt me ook niet naar mijn account op de shop, maar naar een doodnormale product detail pagina.

I hope I never get so old I get religious

woensdag 19 november 2025 15:00

Acties:

BytePhantomX

bluebit schreef op woensdag 19 november 2025 @ 13:12:
Ik werk in de financiële sector, dus ik ben me er van bewust dat ik mogelijk verpest ben door mijn werkomgeving waar alle alarmbellen afgaan en lampen op rood springen zodra je ook maar de indruk krijgt dat je als iemand anders ingelogd bent.

Die context is wel echt anders. Bij een bank wil je alle schijn voorkomen omdat vertrouwen het allerbelangrijkste is. Een retailer zoekt een balans tussen het zo makkelijk mogelijk maken zonder onacceptabele risico's te nemen dat het mis gaat. In dat kader eigenlijk best logisch dat je een link gemaild krijgt en op basis van de link je bestelgescheidenis kan zien maar je wel moet inloggen om een bestelling te plaatsen. Er zijn genoeg partijen die vinden dat toegang tot een email genoeg zekerheid is om te bewijzen wie je bent en je gewoon een linkje sturen om in te loggen.

woensdag 19 november 2025 15:01

Acties:

KNed

Volgens mij doet BOL het ook zo. Daar ben je standaard "ingelogd" in termen als dat je je naam ziet staan en dingen in je winkelmandje kan zetten. Maar als je via een link erin komt of als je te lang iets echt niet besteld hebt oid dan moet je voor alle persoonlijke gegevens of bestellen eerst weer echt inloggen met je inlogmethode

woensdag 19 november 2025 15:06

Acties:

NiGeLaToR

bluebit schreef op woensdag 19 november 2025 @ 12:54:
[...]

ja, even wat meer specificaties:
Het betrof een bestelling in december 2024.
In de bevestigingsmail van de bestelling staat ook een afbeelding en naam van het product (met url erin). het gaat om die url die er als volgt uitziet (ID's vervangen door hoofdlettertekst):

https://www.coolblue.nl/p...HIER_STAAT_NOG_EEN_NUMMER

De coolblue medewerker ziet het issue, die vriend van me ziet het issue, en ik zie het issue ook als ik het op mijn werk laptop test.

Ja er worden zo te zien inderdaad diverse stukje info in de url meegezonden om je op die niet-ingelogde-wel-gepersonaliseerde pagina te laten landen. Op zich - niet echt een datalek te noemen, maar ook niet handig dat die ID's blijkbaar niet verlopen en wellicht uniek voor de bestelling zijn en blijven. Dank voor het delen, zat mijn eigen Coolblue bestellingen al te bekijken. Op zich als je altijd moet inloggen is het eigenlijk net ff mooier qua privacy, maar iets minder klantvriendelijk omdat je niet meteen die basis info ziet. Geeft wellicht een heel klein beetje weg wie het meest te zeggen heeft bij Coolblue: de marketing baas of de FG/ (C)ISO

[ Voor 4% gewijzigd door NiGeLaToR op 19-11-2025 15:07 ]

KOPHI - Klagen Op Het Internet podcast. Luister hier! – bejaardenexport, WEF en de LIDL kassa kwamen al voorbij. Meepraten als gast? DM mij!

woensdag 19 november 2025 15:21

Acties:

MartinMeijerink

Computerrorist

Je overdrijft niet, @bluebit en het is nog erger, die vriend van jou kan ook je verlanglijstje bekijken en er ook dingen aan toevoegen of verwijderen. Mijns inziens toch wel een security risico.

An unbreakable toy is useful to break other toys

woensdag 19 november 2025 16:00

Acties:

CH4OS

It's a kind of magic

Jazzy schreef op woensdag 19 november 2025 @ 14:42:
Ben het er mee eens dat dit onverwacht en ongewenst is natuurlijk.

Niet alleen dit, maar dit is gewoon een datalek, doordat de ander nu de gegevens kan zien en wijzigen, maar ook onder deze naam bestellingen kan plaatsen, maar het afleveradres wel op diens eigen adres zetten.

[ Voor 28% gewijzigd door CH4OS op 19-11-2025 16:02 ]

woensdag 19 november 2025 16:03

Acties:

bluebit

Fear the bunny

Topicstarter

CH4OS schreef op woensdag 19 november 2025 @ 16:00:
[...]
Niet alleen dit, maar dit is gewoon een datalek, doordat de ander nu de gegevens kan zien en wijzigen, maar ook onder deze naam bestellingen kan plaatsen, maar het afleveradres wel op diens eigen adres zetten.

nee, de ander kan niet wijzigen of iets bestellen. Maar hij kan wel mijn winkelmandje of wishlist aanpassen...en dat is gewoon een risico

I hope I never get so old I get religious

woensdag 19 november 2025 16:05

Acties:

CH4OS

It's a kind of magic

bluebit schreef op woensdag 19 november 2025 @ 12:54:
[...]

ja, even wat meer specificaties:
Het betrof een bestelling in december 2024.
In de bevestigingsmail van de bestelling staat ook een afbeelding en naam van het product (met url erin). het gaat om die url die er als volgt uitziet (ID's vervangen door hoofdlettertekst):

https://www.coolblue.nl/p...HIER_STAAT_NOG_EEN_NUMMER

De coolblue medewerker ziet het issue, die vriend van me ziet het issue, en ik zie het issue ook als ik het op mijn werk laptop test.

Tip voor de volgende keer, alleen de URL delen dat eindigt met .html (Voor CoolBlue links en voor zolang men deze extensie gebruikt). Dan weet je zeker dat je de ander "gewoon" naar de productpagina stuurt, maar men in de eigen (of een nieuwe) sessie terecht komt en niet de jouwe.

Om het wat concreter te maken met een voorbeeld, een volgende keer dus alleen https://www.coolblue.nl/p...samsung-ww90cgc04aae.html delen.

woensdag 19 november 2025 16:08

Acties:

Nemean

3:16

CH4OS schreef op woensdag 19 november 2025 @ 16:05:
[...]

Tip voor de volgende keer, alleen de URL delen dat eindigt met .html (Voor CoolBlue links en voor zolang men deze extensie gebruikt). Dan weet je zeker dat je de ander "gewoon" naar de productpagina stuurt, maar men in de eigen (of een nieuwe) sessie terecht komt en niet de jouwe.

Om het wat concreter te maken met een voorbeeld, een volgende keer dus alleen https://www.coolblue.nl/p...samsung-ww90cgc04aae.html delen.

Dat is wel de compleet omgedraaide wereld.

'Secure by default' moet de basisprincipe zijn. Als één URL toegang kan geven tot een account van iemand (ook al is het beperkt tot een wensenlijstje en winkelwagen) is het gewoon 'ruk' bedacht en of ontwikkeld.

Tenslotte kun je niet van iedere leek verwachten dat zij weten welk deel van de URL weggehaald moet worden.

woensdag 19 november 2025 16:11

Acties:

CH4OS

It's a kind of magic

Nemean schreef op woensdag 19 november 2025 @ 16:08:
Dat is wel de compleet omgedraaide wereld.

Zeker, maar dat betekend niet dat je er zelf niets aan hoeft te doen of kunt doen. Want waarom zou je meer dan het nodige delen?

Wellicht is het dus ook wel secure by default, maar als je dan extra gegevens gaat delen, dan is dat ergens wellicht ook wel vragen om problemen, terwijl dat dus - zeker in dit geval - niet had gehoeven, als gewoon de juiste URL gedeeld was.

Natuurlijk kun je dan erover twisten dat niet iedereen weet waarvoor de parameters in een URL zijn, maar dan zou je ook niet klakkeloos de link moeten delen, als je niet weet of begrijpt wat je gaat delen, toch? Als iemand mij een link vraagt naar een bepaald product, dan zoek ik ook gewoon de productpagina op en niet de URL die ik uiteindelijk heb gehad via een e-mail vanuit de webwinkel. Of ik zoek het product op in de PriceWatch, als het product daar ook in staat.

Tenslotte kun je niet van iedere leek verwachten dat zij weten welk deel van de URL weggehaald moet worden.

Vandaar dat ik dus aangeef - met een voorbeeld - wat in dit geval voldoende was geweest en aangeef wat een volgende keer beter is om te doen.

[ Voor 71% gewijzigd door CH4OS op 19-11-2025 16:17 ]

woensdag 19 november 2025 16:14

Acties:

CH4OS

It's a kind of magic

bluebit schreef op woensdag 19 november 2025 @ 16:03:
Nee, de ander kan niet wijzigen of iets bestellen. Maar hij kan wel mijn winkelmandje of wishlist aanpassen...en dat is gewoon een risico

Ook dat is gewoon een datalek.

woensdag 19 november 2025 16:19

Acties:

Nemean

3:16

CH4OS schreef op woensdag 19 november 2025 @ 16:11:
[...]
Zeker, maar dat betekend niet dat je er zelf niets aan hoeft te doen. Want waarom zou je meer dan het nodige delen?

Ik zeg niet dat je er zelf niets aan hoeft te doen. Maar mijn moeder van 70 die een wasmachine doorstuurt naar haar buurman, begrijpt niet wat een UTM-tag is of wat het überhaupt doet. De verantwoordelijkheid ligt in dit geval bij de partij die de website bouwt, niet bij de gebruiker. Je mag als consument verwachten dat links uit een bestelbevestiging veilig zijn om te delen, zeker wanneer ze er op het eerste gezicht volledig onschuldig uitzien.

Omdat UTM-parameters doorgaans uitsluitend bedoeld zijn voor analytics en tracking-doeleinden, niet voor authenticatie of een soort van 'sessiebeheer'. Het idee dat een willekeurige URL-parameter de indruk kan wekken dat iemand in een account is ingelogd, of zelfs gedeeltelijke toegang geeft tot functies zoals een winkelwagen of verlanglijstje die normaal afgeschermd zijn. Wijkt gewoon sterk af van bekende security-principes. Sterker nog, een UTM-tag zou hier niet eens voor gebruikt mogen worden.

woensdag 19 november 2025 16:28

Acties:

CH4OS

It's a kind of magic

Nemean schreef op woensdag 19 november 2025 @ 16:19:
Ik zeg niet dat je er zelf niets aan hoeft te doen. Maar mijn moeder van 70 die een wasmachine doorstuurt naar haar buurman, begrijpt niet wat een UTM-tag is of wat het überhaupt doet. De verantwoordelijkheid ligt in dit geval bij de partij die de website bouwt, niet bij de gebruiker. Je mag als consument verwachten dat links uit een bestelbevestiging veilig zijn om te delen, zeker wanneer ze er op het eerste gezicht volledig onschuldig uitzien.

Omdat UTM-parameters doorgaans uitsluitend bedoeld zijn voor analytics en tracking-doeleinden, niet voor authenticatie of een soort van 'sessiebeheer'. Het idee dat een willekeurige URL-parameter de indruk kan wekken dat iemand in een account is ingelogd, of zelfs gedeeltelijke toegang geeft tot functies zoals een winkelwagen of verlanglijstje die normaal afgeschermd zijn. Wijkt gewoon sterk af van bekende security-principes. Sterker nog, een UTM-tag zou hier niet eens voor gebruikt mogen worden.

Zie ook mijn edit. Ook als je niet weet wat je deelt blijft het dus - zoals je hier ook ziet - raadzaam om het uiterst minimale te delen. Dat niet iedereen dat doet snap ik en ik ben het volledig met je eens dat een webwinkel hier verantwoordelijk voor is, maar nogmaals, dat betekend niet dat je je als klant/gebruiker maar voor de domme moet houden en alleen het uiterste nodige deelt om bij de informatie te komen die je delen wilt. Juist als je niet weet wat je exact deelt. Feit blijft nu eenmaal dat als je als persoon zo klein mogelijk deelt, het risico op dit soort zaken ook aanzienlijk verkleint. Het beschermen van jouw gegevens (wat het winkelmandje en de wenslijst ook is) is niet alleen de verantwoordelijkheid van de winkel he.

[ Voor 7% gewijzigd door CH4OS op 19-11-2025 16:29 ]

Pagina: 1

Reageer