Alleen met kennis van het e-mailadres van een accounthouder kan op Marktplaats namens die gebruiker geboden worden op alle aanbiedingen. Dit kan zonder te beschikken over het wachtwoord dat bij het bewuste account hoort. Dit tipt Webwereld-lezer Richard van Os die de methode zelf heeft uitgeprobeerd en dat ook bij Marktplaats heeft gemeld. Webwereld is er direct in geslaagd dit gat in het systeem op precies dezelfde manier te gebruiken.

De helpdesk van Marktplaats slaagde hier naar eigen zeggen niet in: "Dit is inderdaad niet de bedoeling. Ik kan het hier helaas niet nabootsen. Ik ben bang dat er met inloggen toch iets mis is gegaan", bericht de helpdesk aan Van Os, blijkt uit een mailwisseling die in handen is van Webwereld.

Voorwaarden

Omdat Marktplaats geen veilingsite maar een advertentiesite is, zijn de geplaatste biedingen "in beginsel" niet bindend. "Dit geldt echter niet indien een adverteerder in zijn advertentie op dit punt uitdrukkelijk andere regels hanteert", staat te lezen in de regels van de site.

Dit houdt in dat het kinderlijk eenvoudig is om bij dergelijke advertenties een andere gebruiker een oor aan te naaien. Daarnaast kan verkopers zo een rad voor ogen worden gedraaid; zij denken een hoog bod te krijgen, wat echter niet valide is.

Accountvervalsing

Het bieden onder een ander account gebeurt door het invoeren van een bod en het invullen van het e-mailadres van een derde gebruiker. Daarbij dienen zowel de malafide bieder als het aankomende slachtoffer elk een eigen Marktplaats-account te hebben. In het bevestigingsscherm dat na het uitbrengen van een bod wordt getoond, vraagt de site om het gebruikte e-mailadres te bevestigen met een wachtwoord. Daar kan dan dit lek worden gebruikt.

Er bestaat in dat scherm namelijk de mogelijkheid om het e-mailadres te wijzigen. Wordt dat e-mailadres gewijzigd in het eigen e-mailadres, dus van de malafide bieder, dan kan die gebruiker met zijn eigen adres en wachtwoord inloggen. Opvallend genoeg wordt daarbij niet het account gekaapt, alleen het uitbrengen van dit specifieke bod.

'Werk voor programmeurs'

Na de bevestiging wordt het bod dus wel gewoon gekoppeld aan het account van de ander. Het bod verschijnt vervolgens in de Marktplaats-inbox van de andere gebruiker, die zelf van niets weet. De inbox van de originele gebruiker blijft leeg terwijl het bod wel met dat account is bevestigd.

"Ook na inloggen in beide accounts is het bod volledig aan de andere account gekoppeld. Dus aan degene waarvoor geen wachtwoord is ingevoerd", vertelt Van Os. Ook dit is getest en bevestigd door Webwereld. "Werk aan de winkel voor de webprogrammeurs van Marktplaats, denk ik."

Alleen biedingen

Overigens werkt deze hack niet voor alle advertenties. Het geldt alleen voor die waar op geboden kan worden, en dan ook nog puur via Marktplaats dus niet via direct e-mailcontact. Advertenties met een vaste prijs zijn veilig voor deze vorm van fraude.

Update 9.34 uur: "Er wordt inderdaad een verkeerde naam getoond op de site. Echter is hiermee geen toegang verschaft tot het andere account of een bod uitgebracht uit naam van iemand anders. Het gaat (gelukkig) om een display issue en niet om een beveiligingsprobleem. We gaan dit gelijk verhelpen", aldus een woordvoerster.

"De naam van de bieder die op de site wordt getoond, is niet gekoppeld aan het echte account dat daadwerkelijk bij die naam hoort", legt ze uit. Waarom het bod wel verschijnt in de inbox van de gebruiker die niet geboden heeft blijft vooralsnog onduidelijk. Het feit dat die biedingen daar verschijnen suggereert dat ze wel degelijk aan een dat account zijn gekoppeld.

Update 13.53 uur: "Er bleek inderdaad dat er in specifieke gevallen (bij biedingen) in de codebase afwijkend gedrag optrad", bevestigd de woordvoerster in tweede instantie. Op moment van schrijven zijn alle problemen verholpen.