Schülernetzwerk Haefft.de wegen Datenpanne offline

CCC: Totalversagen der Programmierer

Die Schülercommunity Häfft ist offline, nachdem der Chaos Computer Club (CCC) die Betreiber auf eine eklatante Sicherheitslücke hingewiesen hat: Private Daten von tausenden Kindern und Jugendlichen waren für jeden frei zugänglich.

Artikel veröffentlicht am ,

Der CCC hat die Betreiber über Sicherheitsprobleme seiner Plattform Häfft informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Der Bitte kam Häfft nach und so heißt es auf der Website nun nur: "Liebe Häfftlinge, haefft.de ist leider offline. Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen. Wir überprüfen diesen Hinweis und arbeiten rund um die Uhr, um Haefft.de wieder an den Start zu bringen."

Stellenmarkt
  1. Lehrkraft für besondere Aufgaben (m/w/d) mit Schwerpunkt "Digitalisierung in Wirtschaft und ... (m/w/d)
    Duale Hochschule Gera-Eisenach, Gera
  2. Senior Architekt ServiceNow (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main
Detailsuche

Eigentlich sollten die Zugangskonten junger Nutzer von Häfft durch ein Passwort geschützt sein, doch auch ohne Mühe und Kenntnis dieses Passwortes seien alle hinterlegten Daten der Schüler einsehbar gewesen. Selbst die Administrationskonten der Plattform waren frei zugänglich, so der CCC. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist.

Darüber hinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren, kritisieren die Hacker weiter.

Passwörter im Klartext

So waren die Kennwörter nicht wie üblich als Hashwert in der Datenbank gespeichert, sondern im Klartext. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so dass sich die Passwortabfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Auch wurde auf die marktüblichen Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS verzichtet.

Golem Karrierewelt
  1. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    31.08.2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    05.-09.09.2022, virtuell
Weitere IT-Trainings

Ganz grundsätzlich stellen die Hacker des CCC den Sinn und Zweck von sozialen Netzwerken infrage: "Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen stellt sich durch diese erneute Schwachstelle die Frage immer eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten, die für haefft.de verantwortliche Webagentur schalk&friends verfügt offenbar nicht über genügend Sachverstand und hat sich erst nach mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die löchrige Plattform vom Netz zu nehmen", heißt es in einer Mitteilung des CCC. Die Hacker sind der Ansicht, dass Datenpannen gerade "in Systemen, die hauptsächlich Kinder ansprechen, von vornherein ausgeschlossen sein" sollten.

Eine öffentliche Diskussion dazu sei lange überfällig. Und die Hacker sehen nicht nur die Gefahren von Datenlecks: "Was geschieht beispielsweise mit ihnen, wenn der Betreiber Pleite geht, übernommen oder weiterverkauft wird?". Die Hacker fordern seit Jahren die Verschärfung der Haftung für derartige "Datenverbrechen" sowie umfangreiche Mitteilungspflichten für datenverarbeitende Unternehmen.

CCC-Sprecher Dirk Engling fasst das Problem plastisch zusammen: "Persönliche Daten sind wie Plutonium. Wenn zu viele davon auf einem Haufen liegen, wird es kritisch." Im konkreten Fall wirft Engling den Entwicklern Totalversagen vor.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


manitu 09. Mai 2010

Mir stellt sich wirklich die Frage, warum es hier so viele Beiträge gibt. Meiner Meinung...

IhrName9999 07. Dez 2009

[ ] du weisst um was es in diesem Artikel geht [ ] du hast was sinnvolles zu sagen du...

hsr 07. Dez 2009

Genial. LOL. Danke!

IhrName9999 07. Dez 2009

Da kann man sich noch so lange die Hände reiben : durch den Wunsch Alleine gibts noch...



Aktuell auf der Startseite von Golem.de
Sparmaßnahmen
"Komplettes Chaos" nach Entlassungen bei Oracle

Auch Oracle hat einen massiven Stellenabbau begonnen. Das Unternehmen will eine Milliarde US-Dollar an Kosten einsparen.

Sparmaßnahmen: Komplettes Chaos nach Entlassungen bei Oracle
Artikel
  1. Klimawandel: SSDs sind klimaschädlicher als mechanische Festplatten
    Klimawandel
    SSDs sind klimaschädlicher als mechanische Festplatten

    Während ihrer Lebensdauer verursacht eine SSD fast doppelt so hohe CO2-Emissionen wie eine mechanische HDD.

  2. Elektroauto: Erster Microlino in der Schweiz ausgeliefert
    Elektroauto
    Erster Microlino in der Schweiz ausgeliefert

    Mit einiger Verzögerung ist das elektrische Kleinstauto Microlino an die ersten Kunden ausgeliefert worden.

  3. Microsoft Loop: Riesenkonzept mit Riesenchance auf Riesenchaos
    Microsoft Loop
    Riesenkonzept mit Riesenchance auf Riesenchaos

    Sehr unauffällig rollt Microsoft seine neue Technik Loop für die Onlinezusammenarbeit aus. Admins sollten sie jetzt schon auf dem Schirm haben, denn sie ist vielversprechend, erfordert aber viel Eindenken. Wir erklären sie im Detail.
    Von Mathias Küfner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gainward RTX 3070 559€, ASRock RX 6800 639€) • WD Black 2TB m. Kühlkörper (PS5) 219,90€ • Gigabyte Deals • Alternate (DeepCool Wakü 114,90€) • Apple Week bei Media Markt • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1TB 119€) • Gamesplant Summer Sale [Werbung]
    •  /