Nach dem jüngsten
Datenskandal beim sozialen Netzwerk SchülerVZ macht jetzt eine weitere
Internet-Plattform wegen Mängeln bei der
Sicherheit von sich reden: Auf der unter Kindern sehr bekannten Community haefft.de waren die privaten Daten von tausenden Mitgliedern frei zugänglich. Der Chaos Computer Club (CCC) hat die Sicherheitslücke aufgedeckt und die Betreiber darüber informiert.
Website offline geschaltet
Auf dem Portal des Häfft-Verlags finden sich Fotos, Adressen, Freunde, Hobbies und Vorlieben von Kindern und Jugendlichen sowie untereinander verschickte Nachrichten. Jedes Zugangskonto soll durch ein Passwort geschützt sein. Jedoch hätten auch ohne Mühe und ohne Kenntnis dieses Passwortes alle hinterlegten Daten der Schüler von jedem nach Belieben eingesehen werden können, so der CCC. Selbst die Administrationskonten der ungesicherten Plattform seien frei zugänglich gewesen. Nach mehreren Gesprächen des CCC mit dem Betreiber wurde die Plattform vom Netz genommen.
Über die Sicherheitslücke hinaus, habe sich zudem jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren können. Außerdem wurden noch vor dem Einloggen auf der Website passende und ständig neue Nutzernamen per "Grußkarte" angezeigt, bereit zum Kopieren und Einfügen in das Anmeldefeld.
Schwere Programmierfehler
Die Entwickler bei haefft.de hätten sich so ziemlich alle Anfänger-Programmierfehler geleistet, konstatiert Dirk Engling, Sprecher des CCC. Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so dass sich die Passwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie https kamen nicht zum Einsatz.
Der CCC fordert seit Jahren die Verschärfung der Haftung für solche schweren Verstöße gegen die Datensicherheit sowie umfangreiche Mitteilungspflichten für datenverarbeitende Unternehmen. Angesichts der sich häufenden Probleme gerade bei Datensammlern, die Kinder und Jugendliche ansprechen, seien dringend straffe gesetzliche Regelungen erforderlich, die derartige Geschäftsmodelle unterbinden.
Häfft-Verlag entschuldigt sich
Der Betreiber von haefft.de bedauert in einer Stellungnahme auf seiner Presseseite die aufgetretenen Fehler und kündigt einen umfassenden Test des Internet-Portals durch eine Sicherheitsfirma vor einer möglichen Freischaltung an.
Meldung empfehlen
News
