Lek onthult mailadressen Marktplaats-adverteerders
Gepubliceerd: Donderdag 12 oktober 2006
Auteur: Evan Schaafsma
Marktplaats.nl kent een veiligheidslek waardoor met een simpele toevoeging aan een url mailadressen van adverteerders zijn uit te lezen.
Het lek werd ontdekt door iemand die een e-mail kreeg van een Marktplaats-adverteerder. In deze e-mail stond een link die leidde naar de pagina waarop de plaatsing van de advertentie bevestigd wordt. Op deze pagina wordt ook het e-mailadres van de adverteerder getoond.
De ontdekker van het lek probeerde vervolgens de code die achter de html-extensie van de bevestigingspagina stond, ook uit op de url's van andere advertenties. Zo werden de mailadressen van andere adverteerders blootgelegd.
De ontdekker heeft het lek dinsdag al gemeld bij Marktplaats. Woensdagmiddag stuurde hij een e-mail naar Marktplaats, waarin hij uitlegt hoe de kwetsbaarheid in de site misbruikt kan worden.
Marktplaats-directeur Oscar Diele bevestigt dat het lek donderdagochtend gedicht is. "Het lek is inmiddels gedicht. Het is ontstaan bij één van de updates van de site", zo verklaart Diele tegenover Webwereld. Volgens Diele gaat het niet om een recente update en heeft het lek waarschijnlijk langere tijd bestaan.
Wanneer de code die het e-mailadres van adverteerders blootlegde nu wordt toegevoegd aan een url, verschijnt nog steeds een bevestigingspagina. De mededeling dat er een bevestigingsmail verzonden is naar een bepaald mailadres, is echter vervangen door de tekst 'Wij hebben u een bevestigingsmail gestuurd'.
