Schülernetzwerk Haefft.de wegen Datenpanne offline

CCC: Totalversagen der Programmierer

Die Schülercommunity Häfft ist offline, nachdem der Chaos Computer Club (CCC) die Betreiber auf eine eklatante Sicherheitslücke hingewiesen hat: Private Daten von tausenden Kindern und Jugendlichen waren für jeden frei zugänglich.

Der CCC hat die Betreiber über Sicherheitsprobleme seiner Plattform Häfft informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Der Bitte kam Häfft nach und so heißt es auf der Website nun nur: "Liebe Häfftlinge, haefft.de ist leider offline. Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen. Wir überprüfen diesen Hinweis und arbeiten rund um die Uhr, um Haefft.de wieder an den Start zu bringen."

Eigentlich sollten die Zugangskonten junger Nutzer von Häfft durch ein Passwort geschützt sein, doch auch ohne Mühe und Kenntnis dieses Passwortes seien alle hinterlegten Daten der Schüler einsehbar gewesen. Selbst die Administrationskonten der Plattform waren frei zugänglich, so der CCC. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist.

Darüber hinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren, kritisieren die Hacker weiter.

Passwörter im Klartext

So waren die Kennwörter nicht wie üblich als Hashwert in der Datenbank gespeichert, sondern im Klartext. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so dass sich die Passwortabfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Auch wurde auf die marktüblichen Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS verzichtet.

Ganz grundsätzlich stellen die Hacker des CCC den Sinn und Zweck von sozialen Netzwerken infrage: "Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen stellt sich durch diese erneute Schwachstelle die Frage immer eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten, die für haefft.de verantwortliche Webagentur schalk&friends verfügt offenbar nicht über genügend Sachverstand und hat sich erst nach mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die löchrige Plattform vom Netz zu nehmen", heißt es in einer Mitteilung des CCC. Die Hacker sind der Ansicht, dass Datenpannen gerade "in Systemen, die hauptsächlich Kinder ansprechen, von vornherein ausgeschlossen sein" sollten.

Eine öffentliche Diskussion dazu sei lange überfällig. Und die Hacker sehen nicht nur die Gefahren von Datenlecks: "Was geschieht beispielsweise mit ihnen, wenn der Betreiber Pleite geht, übernommen oder weiterverkauft wird?". Die Hacker fordern seit Jahren die Verschärfung der Haftung für derartige "Datenverbrechen" sowie umfangreiche Mitteilungspflichten für datenverarbeitende Unternehmen.

CCC-Sprecher Dirk Engling fasst das Problem plastisch zusammen: "Persönliche Daten sind wie Plutonium. Wenn zu viele davon auf einem Haufen liegen, wird es kritisch." Im konkreten Fall wirft Engling den Entwicklern Totalversagen vor.