Schülernetzwerk Haefft.de wegen Datenpanne offline

CCC: Totalversagen der Programmierer

Die Schülercommunity Häfft ist offline, nachdem der Chaos Computer Club (CCC) die Betreiber auf eine eklatante Sicherheitslücke hingewiesen hat: Private Daten von tausenden Kindern und Jugendlichen waren für jeden frei zugänglich.

Artikel veröffentlicht am ,

Der CCC hat die Betreiber über Sicherheitsprobleme seiner Plattform Häfft informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Der Bitte kam Häfft nach und so heißt es auf der Website nun nur: "Liebe Häfftlinge, haefft.de ist leider offline. Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen. Wir überprüfen diesen Hinweis und arbeiten rund um die Uhr, um Haefft.de wieder an den Start zu bringen."

Stellenmarkt
  1. Berufseinstieg SAP-Berater*in (m/w/d)
    Lufthansa Industry Solutions AS GmbH, Hamburg, Frankfurt, Wetzlar, Köln, Stuttgart
  2. Discover Trainee (m/w/d) eCommerce
    Vodafone GmbH, Düsseldorf
Detailsuche

Eigentlich sollten die Zugangskonten junger Nutzer von Häfft durch ein Passwort geschützt sein, doch auch ohne Mühe und Kenntnis dieses Passwortes seien alle hinterlegten Daten der Schüler einsehbar gewesen. Selbst die Administrationskonten der Plattform waren frei zugänglich, so der CCC. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist.

Darüber hinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren, kritisieren die Hacker weiter.

Passwörter im Klartext

So waren die Kennwörter nicht wie üblich als Hashwert in der Datenbank gespeichert, sondern im Klartext. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so dass sich die Passwortabfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Auch wurde auf die marktüblichen Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS verzichtet.

Ganz grundsätzlich stellen die Hacker des CCC den Sinn und Zweck von sozialen Netzwerken infrage: "Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen stellt sich durch diese erneute Schwachstelle die Frage immer eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten, die für haefft.de verantwortliche Webagentur schalk&friends verfügt offenbar nicht über genügend Sachverstand und hat sich erst nach mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die löchrige Plattform vom Netz zu nehmen", heißt es in einer Mitteilung des CCC. Die Hacker sind der Ansicht, dass Datenpannen gerade "in Systemen, die hauptsächlich Kinder ansprechen, von vornherein ausgeschlossen sein" sollten.

Eine öffentliche Diskussion dazu sei lange überfällig. Und die Hacker sehen nicht nur die Gefahren von Datenlecks: "Was geschieht beispielsweise mit ihnen, wenn der Betreiber Pleite geht, übernommen oder weiterverkauft wird?". Die Hacker fordern seit Jahren die Verschärfung der Haftung für derartige "Datenverbrechen" sowie umfangreiche Mitteilungspflichten für datenverarbeitende Unternehmen.

CCC-Sprecher Dirk Engling fasst das Problem plastisch zusammen: "Persönliche Daten sind wie Plutonium. Wenn zu viele davon auf einem Haufen liegen, wird es kritisch." Im konkreten Fall wirft Engling den Entwicklern Totalversagen vor.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


manitu 09. Mai 2010

Mir stellt sich wirklich die Frage, warum es hier so viele Beiträge gibt. Meiner Meinung...

IhrName9999 07. Dez 2009

[ ] du weisst um was es in diesem Artikel geht [ ] du hast was sinnvolles zu sagen du...

hsr 07. Dez 2009

Genial. LOL. Danke!

IhrName9999 07. Dez 2009

Da kann man sich noch so lange die Hände reiben : durch den Wunsch Alleine gibts noch...

spYro_ 07. Dez 2009

Bei solchen krassen Sicherheitslücken würde es mich nicht wundern, wenn Fehlermeldungen...



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Browser: Edge unterstützt Maus und Tastatur auf Xbox
    Browser
    Edge unterstützt Maus und Tastatur auf Xbox

    Microsoft hat Edge auf den aktuellen Xbox-Konsolen aktualisiert. Jetzt lässt sich der Browser fast wie am PC per Maus und Tastatur bedienen.

  3. William Shatner: Captain Kirk fliegt offenbar in die Erdumlaufbahn
    William Shatner
    Captain Kirk fliegt offenbar in die Erdumlaufbahn

    Energie! Noch im Oktober 2021 fliegt William "Kirk" Shatner möglicherweise mit Jeff Bezos ins All.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung Odyssey G7 499€ • Alternate (u. a. Thermaltake Level 20 RS ARGB 99,90€) • Samsung 980 1 TB 83€ • Lenovo IdeaPad Duet Chromebook 229€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • AeroCool Cylon 4 ARGB 25,89€ [Werbung]
    •  /