Datenskandal bei haefft.de

Der Chaos Computer Club hat schwere Datenschutzvergehen bei der Schüler-Community „Häfft“ aufgedeckt. Die Daten der angemeldeten Kinder und Jugendlichen konnten laut CCC „ohne Mühe und […] Passwort“ eingesehen werden. Der Vereinssprecher Dirk Engling wirft den Verantwortlichen ein „Totalversagen der Programmierer, aber auch schon bei der Konzeption der Plattform“ vor:

Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.

Besonders erschreckend ist das offensichtlich fehlende Problembewusstsein der Verantwortlichen. In einer mittlerweile gelöschten Presseerklärung wurde das Ausmaß dieser Ignoranz deutlich:

Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, die sich nach besten Kräften darum kümmern, dass in den Foren und im Chat kein Platz für sexistische, gewaltverrlichende, rassistische oder sonstwie jugendgefährdende Inhalte ist. Diese “Haefft.de-Mods” leisten eine tolle Arbeit und sind unserer Überzeugung als Ergänzung um ein Vielfaches wichtiger als die 100%-Technik-Optimierung, die es vermutlich ohnehin nie geben wird.

Das Social Network ist im Übrigen nicht zum ersten Mal durch Probleme mit dem Datenschutz aufgefallen. Im Mai 2008 musste eine Lücke geflickt werden, durch die eMail-Adressen von Mitgliedern aufgedeckt werden konnten.

Nach dem Hinweis des CCC hat Häfft die Community vorerst vom Netz genommen, um die Fehler zu beheben. In einer neuen Pressemeldung heißt es, bisher sei kein Missbrauch von Nutzerdaten bekannt geworden. Vor dem Relaunch soll sich nun eine Security-Firma um die Überprüfung der Datensicherheit auf haefft.de kümmern.

21 Ergänzungen

  1. Wow, die Leute haben ja echt garkeine Ahnung. Sowas darf ein Social Network für kids und jugendliche aufbauen?!

    Wie helfen Moderatoren in Chat und Forum gegen das ausspähen von Adressen? Sitzt der Mod bei einem Kind zuschause und schaut das niemand zum Haus kommt der nicht darf?

    Die Leute sollten dringend mal informiert werden. Am besten so intensiv wie möglich, da sich ihr Angebot an Kinder und Jugendliche richtet und Datenlecks da besonders übel sich auswirken könnten.

  2. Wo ist eigentlich der Gesetzgeber, wenn man ihn mal braucht?
    Wieso darf es solche Plattformen überhaupt für Minderjährige geben. Müsste hier nicht abgesehen von der Datenschutzpflicht des Anbieters erst mal grundsätzlich gefragt werden, ob Kinder bzw. Jugendliche überhaupt in der Lage sind verantwortungsvoll mit den eigenen persönlichen Daten umzugehen. Stichwort Medienkompetenz.

  3. Warum sollte der Gesetzgeber sich kümmern?

    Da gehts nicht um Geld und was die Kinder machen ist doch wurscht. Solange man die Kinder nicht für die PR missbrauchen kann sind die uninteressant.

    Und zur Medienkompetenz: NEIN! Die Kinder sind nicht in der Lage verantwortungsvoll mit den eigenen Daten umzugehen. Wobei ich 99% der Kinder für wesentlich medienkompetenter halter als einige Politiker. (Siehe die Frage nach dem Browser.)

    Und gerade deshalb haben Plattform-Betreiber die Inhalte für Kinder anbieten (eigentlich) eine doppelete Sorgfaltspflicht.

    Aber so wie hier wird ja wieder nur vertuscht und versucht die stille Nummer abzuziehen. Das Projekt verschwindet aus den Referenzen bei der Betreiberfirma und die Verantwortlichen haben natürlich von all dem nichts gewusst und machen es jetzt natürlich besser.

    Strafen wirds wohl keine geben, wozu auch. Sind ja nur Kinder. Aber wehe das Kind zieht eine MP3 aus dem Netz. Dann muss Papa bluten bis an sein Lebensende, weil er seine Aufsichtspflicht verletzt hat und das Kind die absolut größte und schlimmste Straftat überhaupt begangen hat.

    Zwischenzeitlich war ja auch die Seite aus den Referenzen von Schalk & Friends verschwunden, angeblich fehlte auch ein Impressum.

    Das beste ist ja auch der Text der Seite:
    ZITAT: „Da uns die Sicherheit Eurer Daten sehr am Herzen liegt, haben wir uns entschlossen, lieber offline zu gehen als das Risiko einzugehen, dass jemand Eure Daten stiehlt.“
    Und darum wohl auch sämtliche Anfängerfehler überhaupt, wie z.B. keine Passwortverschlüsselung und sogar „anonymer“ Zugriff auf Administratorenkonten.

    Und bei der Presseseite ist Punkt 2 toll: Sie haben ja alles unternommen um Schaden abzuwenden usw usw, blabla.

    Bin mal gespannt wie das aussieht mit der Seite wenn die wieder online ist.

    Und überhaupt: Wo ist Frau von der Leyen? Wo ist die CDU? Die sind doch so für die Kinder da. Achja, die Kinder hatten ja kein Geld, mein Fehler.

  4. klar hat häfft da mist gebaut, aber man sollte nicht gleich das gesamte unternehmen diskreditieren. deren häffte sind nämlich sehr sympathische und gute produkte, nur was man da rein schreibt kann man nur per analogen zugriff auslesen ;), wahrscheinlich wurde diese denklogik +digitalelaienhaftigkeit in deren forum portiert / realisiert.

    deren forum war auch ein dinosaurier aus grauer vorzeit. gut, dass es jetzt jemand gemerkt hat…

  5. Es ist traurig zu beobachten, wie hier auf einer der wenigen youth-social-Plattformen mit Anspruch und Problembewußtsein eingeschossen wird. Kann sich der CCC bitte um die Feinde des Datenschutzes einschießen, als im eigenen Lager zu wildern?! Wenn hier ein Uralt-Forum keine akzeptable Verschlüsselung hatte, ist dies ein Fehler und der sollte behoben werden. Jetzt aber hier ein Faß aufzumachen ist einfach nur albern.

  6. @Markus:
    Weitgefaßtes Lager:
    – Leute aufklären
    – Leute politisiseren
    – Unkommerz unterstützen
    – von Usern für User
    – u.s.w.

    1. @Jason: Überzeugt mich gerade nicht wirklich. Würde Facebook und auch die VZ-Gruppe vermutlich so auch unterschreiben.

  7. @Markus: Das wüsste ich auch zu gerne. Mal abgesehen davon, dass sich seine Aussage sehr seltsam liest. Vielleicht weil beide im Internet vertreten sind, wir sind schließlich alle im selben Boot!!!!einselfeinhunderelfzig

  8. @5: Naja, ein Uralt-Forum kann nicht der Grund sein und bleiben das Datenschutz und sämtliche verfügaren Sicherungen total ignoriert wurden (und werden?).

    Wenn das Forum zu alt ist muss man es updaten.

    Und ich sehe derzeit nicht das da ein Interesse an einer Lösung gearbeitet wird.

    Das Impressum fehlte scheinbar und wurde nachgearbeitet, aus den Referenzen verschwandt die Seite fix und kommentarlos und tauchte dann doch wieder auf und was eine „Security-Firma“ ist ist ebenfalls sehr wage.

    Ich denke nicht das es irgendeine Strafe für die Betreiber geben wird, noch das sich irgendwas groß ändert.

  9. Das ist nun wirklich heftig (oder „haefft“-ig?). Passwörter im Klartext speichern und mit dem „LIKE“-Operator prüfen… Kann da dem fiesen Admin auf 11 nur zustimmen…

  10. ach, das ist noch gar nix, vor ca 5 jahren war es noch so dass im häfft forum die usernamen beim absenden eines postings per hidden-field übertragen wurden, hat man da einen eingeschleust konnte man unter beliebigem namen posten.

    hat 100%ig so funktioniert, hab die admins informiert, war denen egal, die tatsache war mehrere jahre bekannt und wurde ignoriert.

    die kameraden wissen was sie verbrechen, das ist ja das schlimme.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.