Datenskandal bei haefft.de

Der Chaos Computer Club hat schwere Datenschutzvergehen bei der Schüler-Community „Häfft“ aufgedeckt. Die Daten der angemeldeten Kinder und Jugendlichen konnten laut CCC „ohne Mühe und […] Passwort“ eingesehen werden. Der Vereinssprecher Dirk Engling wirft den Verantwortlichen ein „Totalversagen der Programmierer, aber auch schon bei der Konzeption der Plattform“ vor:

Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.

Besonders erschreckend ist das offensichtlich fehlende Problembewusstsein der Verantwortlichen. In einer mittlerweile gelöschten Presseerklärung wurde das Ausmaß dieser Ignoranz deutlich:

Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, die sich nach besten Kräften darum kümmern, dass in den Foren und im Chat kein Platz für sexistische, gewaltverrlichende, rassistische oder sonstwie jugendgefährdende Inhalte ist. Diese “Haefft.de-Mods” leisten eine tolle Arbeit und sind unserer Überzeugung als Ergänzung um ein Vielfaches wichtiger als die 100%-Technik-Optimierung, die es vermutlich ohnehin nie geben wird.

Das Social Network ist im Übrigen nicht zum ersten Mal durch Probleme mit dem Datenschutz aufgefallen. Im Mai 2008 musste eine Lücke geflickt werden, durch die eMail-Adressen von Mitgliedern aufgedeckt werden konnten.

Nach dem Hinweis des CCC hat Häfft die Community vorerst vom Netz genommen, um die Fehler zu beheben. In einer neuen Pressemeldung heißt es, bisher sei kein Missbrauch von Nutzerdaten bekannt geworden. Vor dem Relaunch soll sich nun eine Security-Firma um die Überprüfung der Datensicherheit auf haefft.de kümmern.

13 Kommentare
  1. Jason Krüger 7. Dez 2009 @ 19:13
  2. Jason Krüger 7. Dez 2009 @ 21:11
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden