Der CCC deckt auf: Kindernetzwerk mit Lücken
Nach der SchülerVZ-Sache jetzt ein neuer Fall: Auch das Kinder-Netzwerk haefft.de hatte eklatante Sicherheitslücken. Der CCC, der das aufdeckte, spricht von "Anfängerfehlern".
Nachdem kürzlich aufgedeckt wurde, dass das Kinder-Netzwerk SchülerVZ gravierende Sicherheitslücken hatte, jetzt ein neuer Fall: Der Chaos Computer Club (CCC) fand heraus, dass beim Kinder-Netzwerk haefft.de – betrieben vom Häfft-Schulbuchverlag – äußerst stümperhaft gearbeitet wurde.
"Die Anbieter konnen nicht einmal ein Mindestmaß an Sicherheit gewährleisten und verfügen offenbar nicht über genügend Sachverstand", so der CCC in einer Presseaussendung, "ohne Mühe und ohne Kenntnis der Paßworte konnten alle hinterlegten Daten der Schüler eingesehen werden". Selbst die Administratorkonten seien frei zugänglich gewesen.
CCC-Sprecher Dirk Engling hat sich genauer mit technischen Schlampereien bei Häfft beschäftigt: "Die Entwickler haben sich so ziemlich alle Anfänger-Programmierfehler geleistet, die man sich vorstellen kann." Die Kennwörter seien nicht wie üblich "gehasht", sondern im Klartext abgespeichert worden. Zudem wurden sie lediglich auf Ähnlichkeit verglichen und nicht genau abgefragt – "man konnte das Programm überreden, sich einzubilden, dass das Passwort richtig ist", erklärt Frank Rieger, ebenfalls vom CCC.
Besonders peinlich: Die Nutzerdaten wurden ungefiltert und überdies als Befehl an die Datenbank weitergereicht. Auch seien "marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie https bei haefft.de offenbar unbekannt", übte sich der CCC in Sarkasmus.
haefft.de ist derzeit offline. "Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen." In einer Art Fünf-Punkte-Plan gelobt Häfft Besserung, unter anderem kündigt die Firma auch an, dass sie eine Sicherheitsfirma beauftragen wird, die das Portal vor einer abermaligen Freischaltung auf Sicherheitslücken prüfen soll.
Leser*innenkommentare
spirou
Gast
ccc! ole! ole!
Christian Alexander Tietgen
Gast
JA. SchülerVZ ist schon ziemlich gut abgesichert und schlimmer geht es immer.
Sub
Gast
Echt, wir können froh sein, dass wir den CCC haben. Wir brauchen die!
Jens Jackowski
Gast
Gute Arbeit vom CCC.