• IT-Karriere:
  • Services:

Schülernetzwerk Haefft.de wegen Datenpanne offline

CCC: Totalversagen der Programmierer

Die Schülercommunity Häfft ist offline, nachdem der Chaos Computer Club (CCC) die Betreiber auf eine eklatante Sicherheitslücke hingewiesen hat: Private Daten von tausenden Kindern und Jugendlichen waren für jeden frei zugänglich.

Artikel veröffentlicht am ,

Der CCC hat die Betreiber über Sicherheitsprobleme seiner Plattform Häfft informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Der Bitte kam Häfft nach und so heißt es auf der Website nun nur: "Liebe Häfftlinge, haefft.de ist leider offline. Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen. Wir überprüfen diesen Hinweis und arbeiten rund um die Uhr, um Haefft.de wieder an den Start zu bringen."

Stellenmarkt
  1. ARZ Haan AG, Stuttgart, Nürnberg, München
  2. J. Bauer GmbH & Co. KG, Wasserburg/Inn

Eigentlich sollten die Zugangskonten junger Nutzer von Häfft durch ein Passwort geschützt sein, doch auch ohne Mühe und Kenntnis dieses Passwortes seien alle hinterlegten Daten der Schüler einsehbar gewesen. Selbst die Administrationskonten der Plattform waren frei zugänglich, so der CCC. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist.

Darüber hinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren, kritisieren die Hacker weiter.

Passwörter im Klartext

So waren die Kennwörter nicht wie üblich als Hashwert in der Datenbank gespeichert, sondern im Klartext. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so dass sich die Passwortabfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Auch wurde auf die marktüblichen Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS verzichtet.

Ganz grundsätzlich stellen die Hacker des CCC den Sinn und Zweck von sozialen Netzwerken infrage: "Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen stellt sich durch diese erneute Schwachstelle die Frage immer eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten, die für haefft.de verantwortliche Webagentur schalk&friends verfügt offenbar nicht über genügend Sachverstand und hat sich erst nach mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die löchrige Plattform vom Netz zu nehmen", heißt es in einer Mitteilung des CCC. Die Hacker sind der Ansicht, dass Datenpannen gerade "in Systemen, die hauptsächlich Kinder ansprechen, von vornherein ausgeschlossen sein" sollten.

Eine öffentliche Diskussion dazu sei lange überfällig. Und die Hacker sehen nicht nur die Gefahren von Datenlecks: "Was geschieht beispielsweise mit ihnen, wenn der Betreiber Pleite geht, übernommen oder weiterverkauft wird?". Die Hacker fordern seit Jahren die Verschärfung der Haftung für derartige "Datenverbrechen" sowie umfangreiche Mitteilungspflichten für datenverarbeitende Unternehmen.

CCC-Sprecher Dirk Engling fasst das Problem plastisch zusammen: "Persönliche Daten sind wie Plutonium. Wenn zu viele davon auf einem Haufen liegen, wird es kritisch." Im konkreten Fall wirft Engling den Entwicklern Totalversagen vor.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. mit Speicherangeboten, z. B. Crucial BX500 1 TB für 77€, SanDisk Ultra NVMe SSD 1 TB...
  2. 285,80€ + 5,95€ Versand. Für Neukunden und bei Newsletter-Anmeldung noch günstiger...
  3. (u. a. Microsoft 365 Family | 6 Nutzer | Mehrere PCs/Macs, Tablets und mobile Geräte | 1...

manitu 09. Mai 2010

Mir stellt sich wirklich die Frage, warum es hier so viele Beiträge gibt. Meiner Meinung...

IhrName9999 07. Dez 2009

[ ] du weisst um was es in diesem Artikel geht [ ] du hast was sinnvolles zu sagen du...

hsr 07. Dez 2009

Genial. LOL. Danke!

IhrName9999 07. Dez 2009

Da kann man sich noch so lange die Hände reiben : durch den Wunsch Alleine gibts noch...

spYro_ 07. Dez 2009

Bei solchen krassen Sicherheitslücken würde es mich nicht wundern, wenn Fehlermeldungen...


Folgen Sie uns
       


Radeon RX 6800 (XT) im Test mit Benchmarks

Lange hatte AMD bei Highend-Grafikkarten nichts zu melden, mit den Radeon RX 6800 (XT) kehrt die Gaming-Konkurrenz zurück.

Radeon RX 6800 (XT) im Test mit Benchmarks Video aufrufen
USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
USA
Die falsche Toleranz im Silicon Valley muss endlich aufhören

Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
Ein IMHO von Sebastian Grüner

  1. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
  2. CD Projekt Red Crunch trifft auf Cyberpunk 2077
  3. Open Source Niemand hat die Absicht, Sicherheitslücken zu schließen

Quereinsteiger: Mit dem Master in die IT
Quereinsteiger
Mit dem Master in die IT

Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
Ein Bericht von Peter Ilg

  1. IT-Arbeit Es geht auch ohne Chefs
  2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
  3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

    •  /