summaryrefslogtreecommitdiff
path: root/updates
diff options
context:
space:
mode:
author46halbe <46halbe@berlin.ccc.de>2009-12-04 23:29:30 +0000
committer46halbe <46halbe@berlin.ccc.de>2020-05-23 13:38:44 +0000
commit8e805cde9a36b13139b5ef7e26c7fd23d251ea70 (patch)
treed1b0124ec6976f5d5b515d5906c5436d63b8a2f1 /updates
parent1e05e1f27a7f2938c9ea5e078f3621899e209bd0 (diff)
committing page revision 1
Diffstat (limited to 'updates')
-rw-r--r--updates/2009/haefft-datenloch.md65
1 files changed, 65 insertions, 0 deletions
diff --git a/updates/2009/haefft-datenloch.md b/updates/2009/haefft-datenloch.md
new file mode 100644
index 00000000..b5a03b7f
--- /dev/null
+++ b/updates/2009/haefft-datenloch.md
@@ -0,0 +1,65 @@
1title: Datenskandal bei haefft.de: Privatleben von tausenden Kindern offen im Netz
2date: 2009-12-04 22:48:00
3updated: 2009-12-04 23:29:30
4author: presse
5tags: update, pressemitteilung, datenverbrechen
6
7Private Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich. haefft.de ist eines von mehreren Social-Network-Unternehmen in Deutschland, deren fragwürdiges Geschäftsmodell die Erfassung, Speicherung und Auswertung intimster Daten von Kindern und Jugendlichen ist. Über die unter Kindern bekannte Plattform sammelt der Betreiber Haefft-Verlag Informationen wie Fotos, Adressen, Freunde, Hobbies, Vorlieben und private Nachrichten von Schülern untereinander. Der Chaos Computer Club (CCC) hat die Betreiber informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Zum Schutz der Kinder ist dies nun erfolgt.
8
9<!-- TEASER_END -->
10
11Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein.
12Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle
13hinterlegten Daten der Schüler eingesehen werden. Selbst die
14Admininstrationskonten der offenkundig ungesicherten Plattform waren
15frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller
16Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke
17aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes
18Kind ausgeben und als dieses in der Community agieren. Dafür machte es
19haefft.de Neugierigen besonders leicht: Passende und ständig neue
20Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per
21"Grußkarte" offenbart – bereit zum Kopieren und Einfügen in das
22Anmeldefeld.
23
24Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen
25stellt sich durch diese erneute Schwachstelle die Frage immer
26eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die
27Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten,
28die für haefft.de verantwortliche Webagentur schalk&friends verfügt
29offenbar nicht über genügend Sachverstand und hat sich erst nach
30mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die
31löchrige Plattform vom Netz zu nehmen. Jedoch sollten Datenpannen
32ausgerechnet in Systemen, die hauptsächlich Kinder ansprechen, von
33vornherein ausgeschlossen sein. Eine öffentliche Diskussion ist lange
34überfällig. Der an den Tag gelegte Leichtsinn im Umgang mit persönlichen
35Daten – noch dazu mit denen von Kindern – gehört zu den schlimmsten
36Datenverbrechen unserer Zeit. Doch nicht nur technische Datenlecks
37lassen die Frage nach dem Gefahrenpotential der gehorteten Daten
38aufkommen: Was geschieht beispielsweise mit ihnen, wenn der Betreiber
39pleitegeht, übernommen oder weiterverkauft wird?
40
41Der Sprecher des CCC, Dirk Engling, faßt das Problem plastisch zusammen:
42"Persönliche Daten sind wie Plutonium. Wenn zuviele davon auf einem
43Haufen liegen, wird es kritisch." Zu den technischen Details konstatiert
44er: "Die Entwickler bei haefft.de haben sich dabei so ziemlich alle
45Anfänger-Programmierfehler geleistet." Die Kennwörter waren nicht wie
46üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit
47dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die
48Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten
49des Benutzers wurden ungefiltert als Befehl an die Datenbank
50weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung
51der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.
52
53"Um die Größenordnung des Problems zu verstehen, muß betont werden, daß
54hier von einem Totalversagen der Programmierer, aber auch schon bei der
55Konzeption der Plattform auszugehen ist. Dies führte dazu, daß alle
56Daten der Kinder zugänglich waren," erläuterte Engling. "Es gab nicht
57einmal rudimentäre Sicherungen, die Sorgfaltspflichten für den Umgang
58mit derartig sensiblen Daten wurden sträflich verletzt."
59
60Der CCC fordert seit Jahren die Verschärfung der Haftung für derartige
61Datenverbrechen sowie umfangreiche Mitteilungspflichten für
62datenverarbeitende Unternehmen. Angesichts der sich häufenden Probleme
63gerade bei Datensammlern, die Kinder und Jugendliche ansprechen, sind
64dringlich straffe gesetzliche Regelungen erforderlich, die derartige
65Geschäftsmodelle unterbinden.