Gebruikers die een link naar de Neckermann-pagina versturen op het moment dat ze zijn ingelogd zijn kwetsbaar voor de fout. De link geeft de ontvanger toegang tot het account van de verstuurder, zo meldt Nu.nl na een tip van een lezer.

Als de ontvanger namelijk op de link klikt blijkt hij automatisch te zijn ingelogd onder het account van degene die de link heeft gestuurd. De gebruiker heeft op die manier alle rechten die de originele gebruiker ook heeft. Zo is hij in staat om gegevens te wijzigen, bestellingen te plaatsen of te annuleren.

Ook is het voor de gebruiker mogelijk om het wachtwoord van het betreffende account te wijzigen, omdat het oude wachtwoord hiervoor niet is vereist. Het wachtwoord wordt bovendien onversleuteld in de database opgeslagen en staat zelfs standaard ingevuld op de profielpagina. Het is daarom mogelijk om het wachwoord te achterhalen door de html-broncode op te vragen.

Neckermann heeft laten weten dat eraan wordt gewerkt om het lek te dichten. "Wij doen er alles aan om dit probleem zo snel mogelijk op te lossen. Totdat het probleem definitief opgelost is blijft het betreffende onderdeel van de webwinkel afgesloten", aldus Ron Kindt van Neckerman in een e-mail aan Webwereld.