ALs ik inlog op MijnNS, dan staat er rechtsboven niet het email adres van mijn account, maar van die van mijn dochter. Zij had ook ingelogd op MijnNS, is uitgelogt, en daarna ben ik ingelogt.
Lijkt mij een technisch probleem van de website. Misschien iets voor de website bouwer?
Beste antwoord door AnjaB
Bekijk origineelProbeer eens de cache van je browser te legen. Waarschijnlijk ligt het daar aan.
Hallo WJB65 en welkom bij de NS Community,
Dit komt ongetwijfeld door de cookies. Het advies van AnjaB zal dit moeten verhelpen. Je kan ook inloggen via een andere webbrowser of apparaat. Vervolgens zal je je eigen naam zien staan.
+3
Allemaal leuk en aardig, maar dit zou niet mogen gebeuren. Sterker nog, als dit klopt is dat behoorlijk amateuristisch. Misschien zelfs strafbaar. En dat ligt dan wel degelijk aan de site. Zou goed zijn om dit wel door te zetten naar de juiste afdeling.
Ik zal zelf ook eens proberen dit te reproduceren.
Ik verneem graag of je iets ontdekt. Het is naar mijn weten onmogelijk aangezien je inlogt met het e-mailadres wat erna wordt getoond.
+3
Ik verneem graag of je iets ontdekt. Het is naar mijn weten onmogelijk aangezien je inlogt met het e-mailadres wat erna wordt getoond.
Het is bekend/reproduceerbaar hoor (voor de website); je logt account X uit en logt in met de gegevens van account Y.
Je krijgt keurig de gegevens van account Y maar rechtsboven staat nog steeds het e-mailadres van X.
Venster/tabblad (of je hele browser) een keer afsluiten helpt natuurlijk. Iets cosmetisch dus, want je bent gewoon ingelogd als ‘jezelf’ (Y).
Omdat deze nog in je cache hangt. Je ziet niet de gegevens van diegene als het goed is.
+3
Omdat deze nog in je cache hangt. Je ziet niet de gegevens van diegene als het goed is.
Precies, de website toont een andere gebruikersnaam/adres rechtsboven dan dat waarmee je ingelogd bent.
Slordig, maar wie inlogt als Y krijgt natuurlijk niet de gegevens van X (die uitgelogd is) te zien.
+3
Heeft dat niet te maken met dat op dezelfde computer wordt ingelogd en dochter ‘emailadres onthouden’ heeft aangeklikt?
Slordig, maar wie inlogt als Y krijgt natuurlijk niet de gegevens van X (die uitgelogd is) te zien.
Wel het e-mailadres dan dus toch? Zeker op een openbare computer in bijvoorbeeld een bibliotheek zie ik dit (daar potentiële maar hier ook al reële) datalek toch wel als relevant. Als dat mailadres inderdaad in een cookie blijft hangen is de oplossing (technisch op relatief laag niveau, hoe het in de software die NS gebruikt zit, weet ik niet) ook simpel en moet dat cookie m.i. gewoon specifiek voor de sessie zijn, en de sessie bij uitloggen worden geïnvalideerd.
Heeft dat niet te maken met dat op dezelfde computer wordt ingelogd en dochter ‘emailadres onthouden’ heeft aangeklikt?
Als gebruiker verwacht ik van die functie dat hij mijn mailadres dan voorvult in het veld om in te loggen en niet dat het na inloggen nog te zien is als iemand toch met een ander account heeft ingelogd.
Hallo WJB65 en welkom bij de NS Community,
Dit komt ongetwijfeld door de cookies. Het advies van AnjaB zal dit moeten verhelpen. Je kan ook inloggen via een andere webbrowser of apparaat. Vervolgens zal je je eigen naam zien staan.
Melden jullie dit datalek ook netjes even bij de AP? Dat het hier een dochter betreft en betrokkenen het waarschijnlijk niet erg vinden, lijkt me juridisch irrelevant voor het feit dat hier zonder verwerkingsgrondslag daarvoor een mailadres van een gebruiker aan een ander is getoond.
Ik heb het signaal intern doorgezet, bedankt!
+3
Als iemand aangeeft ‘Onthoud mijn e-mailadres’ dan gaat dat via een simpel browser cookie, en is verder eigenlijk geen probleem want je zult alsnog het wachtwoord nodig hebben. De gebruikersnaam wordt dan bewaard (en dat is toevallig vaak een e-mailadres)!
Dat iemand anders (na uitloggen uit je NS account maar niet uitgelogd als gebruiker op die computer of tablet/telefoon!) dan je (bewaarde/onthouden) e-mailadres te zien krijgt te zien heb je zelf toestemming voor gegeven, dus gaat de AP niets aan veranderen.
Voorwaarde: op dat apparaat ben je nog steeds aangemeld als die persoon natuurlijk. Als iemad op mijn pc naar bol.com gaat is die bij inloggen wegens de onthouden naam robertbol684 (of een e-mailadres) dus. Geef je wachtwoord maar om verder te gaan…
Natuurlijk een heel slecht idee op dat op een apparaat te doen dat door meerdere personen gebruikt wordt die het apparaat als dezelfde persoon gebruiken (een pc/laptop/tablet met als gebruikersnaam ‘familie Jansen’ of zo) en geen verificatie met eigen wachtwoord, vingerafdruk of gezichtherkenning of wat dan ook… laat staan helemaal geen wachtwoord (veeg omhoog of dubbelklik of tik 12345 om te ontgrendelen!).
Zonder die optie (cookies met je gebruikersnaam/e-mailadres) zullen wachtwoordmanagers als je ingelogd bent met een Google/Apple/Microsoft account op welk apparaat dan ook die gegevens ook wel van je ‘weten’ (geen cookies voor nodig), zie screenshot.
En dat is dan inclusief het opgeslagen en bij Google/Apple/Microsoft/willekeurige passwordmanager bekende wachtwoord! 🙄
Maar dat is dus je eigen keuze (gebruikersaccounts/wachtwoorden synchroniseren, tussen apparaten zoals je telefoon/tablet en pc/laptop…) Het staat je geheel vrij om met een andere account in te loggen (niet die van je dochter dus).
Wat er in Mijn NS getoond wordt rechtsboven is dus nogal ‘arbitraal’ en ambigu. Er staat een verkeerde gebruikersnaam maar je bent bent gewoon als jezelf ingelogd, zie https://www.ns.nl/mijnns#/persoonsgegevens
Ook wel grappig, via https://login.ns.nl/personal/dashboard kreeg ik na een paar keer wisselen van gebruiker in dezelfde browser dit, waarbij Naar Trein Veilig Service verwijst naar registreer-je-reis.ns.nl maar die doet al lang niets meer 😴
Voor een ouder en dochter op hetzelfde apparaat hoeft er in ieder geval geen AP melding uitgestuurd te worden
Iemand heeft aangegeven gebruikersnaam onthouden (op dit apparaat, in deze browser, er bestaat een cookie) dus nu weet ik via dat cookie je e-mailadres! 🤣
Het staat dus gewoon slordig (rechtsboven in beeld in Mijn NS) en is verder ‘Trein Veilig’ hoor 🙄😣😴
+3
Als gebruiker verwacht ik van die functie dat hij mijn mailadres dan voorvult in het veld om in te loggen en niet dat het na inloggen nog te zien is als iemand toch met een ander account heeft ingelogd.
Nee, hooguit als iemand met hetzelfde account succesvol heeft ingelogd op een ander apparaat of vanaf een onbekend ip-adres.
Als je daar geen waarschuwingen over krijgt heb je iets niet op orde… maar ja, de NS vindt het allemaal prima. 😴
Je koppelt een willekeurige ov-chipkaart (de kaarthouder krijgt een mailtje met een ‘opt-out’ link indien bekend) “Je kaart is gekoppeld door persoon X”
Maar je kunt dan nog niets aanpassen (want je bent niet zomaar ook de contracthouder voor die kaart)...
Maar goed, jouw interpretatie kan natuurlijk kloppen. Het is dus relevant dat wordt uitgezocht of dit zich alleen voor kan doen als de gebruiker gevraagd heeft zijn mailadres te onthouden.
+3
Het ligt er ook nog aan qua tijd. Als ik een Mijn NS tab/venster sluit zou ik in principe ‘uitgelogd’ moeten worden natuurlijk (zou je verwachten).
Maar als er een (vrij noodzakelijk) sessie-cookie bestaat op een bepaald apparaat dan word ik bij terugkomst op een eerder bezochte pagina gewoon zonder meer opnieuw ingelogd alsof ik nooit weggeweest ben (dus inclusief inhoud van mijn winkelwagentje e.d.)
De browser afsluiten of apparaat opnieuw opstarten is dan voldoende (want sessie-cookies worden bewaard in het geheugen, niet als bestand).
Heb je al een account? Inloggen
Nog geen account? Maak een account aan
Enter your username or e-mail address. We'll send you an e-mail with instructions to reset your password.
