Abo
  • IT-Karriere:

Schülernetzwerk Haefft.de wegen Datenpanne offline

CCC: Totalversagen der Programmierer

Die Schülercommunity Häfft ist offline, nachdem der Chaos Computer Club (CCC) die Betreiber auf eine eklatante Sicherheitslücke hingewiesen hat: Private Daten von tausenden Kindern und Jugendlichen waren für jeden frei zugänglich.

Artikel veröffentlicht am ,

Der CCC hat die Betreiber über Sicherheitsprobleme seiner Plattform Häfft informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Der Bitte kam Häfft nach und so heißt es auf der Website nun nur: "Liebe Häfftlinge, haefft.de ist leider offline. Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen. Wir überprüfen diesen Hinweis und arbeiten rund um die Uhr, um Haefft.de wieder an den Start zu bringen."

Stellenmarkt
  1. Vodafone Kabel Deutschland GmbH, Unterföhring
  2. BWI GmbH, München

Eigentlich sollten die Zugangskonten junger Nutzer von Häfft durch ein Passwort geschützt sein, doch auch ohne Mühe und Kenntnis dieses Passwortes seien alle hinterlegten Daten der Schüler einsehbar gewesen. Selbst die Administrationskonten der Plattform waren frei zugänglich, so der CCC. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist.

Darüber hinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren, kritisieren die Hacker weiter.

Passwörter im Klartext

So waren die Kennwörter nicht wie üblich als Hashwert in der Datenbank gespeichert, sondern im Klartext. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so dass sich die Passwortabfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Auch wurde auf die marktüblichen Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS verzichtet.

Ganz grundsätzlich stellen die Hacker des CCC den Sinn und Zweck von sozialen Netzwerken infrage: "Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen stellt sich durch diese erneute Schwachstelle die Frage immer eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten, die für haefft.de verantwortliche Webagentur schalk&friends verfügt offenbar nicht über genügend Sachverstand und hat sich erst nach mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die löchrige Plattform vom Netz zu nehmen", heißt es in einer Mitteilung des CCC. Die Hacker sind der Ansicht, dass Datenpannen gerade "in Systemen, die hauptsächlich Kinder ansprechen, von vornherein ausgeschlossen sein" sollten.

Eine öffentliche Diskussion dazu sei lange überfällig. Und die Hacker sehen nicht nur die Gefahren von Datenlecks: "Was geschieht beispielsweise mit ihnen, wenn der Betreiber Pleite geht, übernommen oder weiterverkauft wird?". Die Hacker fordern seit Jahren die Verschärfung der Haftung für derartige "Datenverbrechen" sowie umfangreiche Mitteilungspflichten für datenverarbeitende Unternehmen.

CCC-Sprecher Dirk Engling fasst das Problem plastisch zusammen: "Persönliche Daten sind wie Plutonium. Wenn zu viele davon auf einem Haufen liegen, wird es kritisch." Im konkreten Fall wirft Engling den Entwicklern Totalversagen vor.



Anzeige
Spiele-Angebote
  1. 2,40€
  2. 2,49€
  3. 0,00€
  4. 3,99€ statt 19,99€

manitu 09. Mai 2010

Mir stellt sich wirklich die Frage, warum es hier so viele Beiträge gibt. Meiner Meinung...

IhrName9999 07. Dez 2009

[ ] du weisst um was es in diesem Artikel geht [ ] du hast was sinnvolles zu sagen du...

hsr 07. Dez 2009

Genial. LOL. Danke!

IhrName9999 07. Dez 2009

Da kann man sich noch so lange die Hände reiben : durch den Wunsch Alleine gibts noch...

spYro_ 07. Dez 2009

Bei solchen krassen Sicherheitslücken würde es mich nicht wundern, wenn Fehlermeldungen...


Folgen Sie uns
       


Speedport Pro - Test

Der Speedport Pro ist gerade im WLAN verglichen mit dem älteren Speedport Hybrid eine Verbesserung. Allerdings zeigt sich in unserem Test auch, dass die maximale Datenrate nicht steigt. Eher das Gegenteil ist der Fall.

Speedport Pro - Test Video aufrufen
e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  2. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera
  3. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro

LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    •  /