5151332

Der CCC deckt auf: Kindernetzwerk mit Lücken

Nach der SchülerVZ-Sache jetzt ein neuer Fall: Auch das Kinder-Netzwerk haefft.de hatte eklatante Sicherheitslücken. Der CCC, der das aufdeckte, spricht von "Anfängerfehlern".

Häfft Presse: Hier wird Besserung gelobt. : screenshot haefft presse

Nachdem kürzlich aufgedeckt wurde, dass das Kinder-Netzwerk SchülerVZ gravierende Sicherheitslücken hatte, jetzt ein neuer Fall: Der Chaos Computer Club (CCC) fand heraus, dass beim Kinder-Netzwerk haefft.de – betrieben vom Häfft-Schulbuchverlag – äußerst stümperhaft gearbeitet wurde.

"Die Anbieter konnen nicht einmal ein Mindestmaß an Sicherheit gewährleisten und verfügen offenbar nicht über genügend Sachverstand", so der CCC in einer Presseaussendung, "ohne Mühe und ohne Kenntnis der Paßworte konnten alle hinterlegten Daten der Schüler eingesehen werden". Selbst die Administratorkonten seien frei zugänglich gewesen.

CCC-Sprecher Dirk Engling hat sich genauer mit technischen Schlampereien bei Häfft beschäftigt: "Die Entwickler haben sich so ziemlich alle Anfänger-Programmierfehler geleistet, die man sich vorstellen kann." Die Kennwörter seien nicht wie üblich "gehasht", sondern im Klartext abgespeichert worden. Zudem wurden sie lediglich auf Ähnlichkeit verglichen und nicht genau abgefragt – "man konnte das Programm überreden, sich einzubilden, dass das Passwort richtig ist", erklärt Frank Rieger, ebenfalls vom CCC.

Besonders peinlich: Die Nutzerdaten wurden ungefiltert und überdies als Befehl an die Datenbank weitergereicht. Auch seien "marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie https bei haefft.de offenbar unbekannt", übte sich der CCC in Sarkasmus.

haefft.de ist derzeit offline. "Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen." In einer Art Fünf-Punkte-Plan gelobt Häfft Besserung, unter anderem kündigt die Firma auch an, dass sie eine Sicherheitsfirma beauftragen wird, die das Portal vor einer abermaligen Freischaltung auf Sicherheitslücken prüfen soll.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Themen

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare