committing page revision 1

author: 46halbe <46halbe@berlin.ccc.de> 2009-12-04 23:29:30 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:38:44 +0000
commit: 8e805cde9a36b13139b5ef7e26c7fd23d251ea70 (patch)
tree: d1b0124ec6976f5d5b515d5906c5436d63b8a2f1 /updates/2009
parent: 1e05e1f27a7f2938c9ea5e078f3621899e209bd0 (diff)
1 files changed, 65 insertions, 0 deletions
diff --git a/updates/2009/haefft-datenloch.md b/updates/2009/haefft-datenloch.md
new file mode 100644
index 00000000..b5a03b7f
--- /dev/null
+++ b/updates/2009/haefft-datenloch.md
@@ -0,0 +1,65 @@
+title: Datenskandal bei haefft.de: Privatleben von tausenden Kindern offen im Netz
+date: 2009-12-04 22:48:00 
+updated: 2009-12-04 23:29:30 
+author: presse
+tags: update, pressemitteilung, datenverbrechen
+Private Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich. haefft.de ist eines von mehreren Social-Network-Unternehmen in Deutschland, deren fragwürdiges Geschäftsmodell die Erfassung, Speicherung und Auswertung intimster Daten von Kindern und Jugendlichen ist. Über die unter Kindern bekannte Plattform sammelt der Betreiber Haefft-Verlag Informationen wie Fotos, Adressen, Freunde, Hobbies, Vorlieben und private Nachrichten von Schülern untereinander. Der Chaos Computer Club (CCC) hat die Betreiber informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Zum Schutz der Kinder ist dies nun erfolgt.
+<!-- TEASER_END -->
+Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein.
+Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle
+hinterlegten Daten der Schüler eingesehen werden. Selbst die
+Admininstrationskonten der offenkundig ungesicherten Plattform waren
+frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller
+Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke
+aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes
+Kind ausgeben und als dieses in der Community agieren. Dafür machte es
+haefft.de Neugierigen besonders leicht: Passende und ständig neue
+Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per
+"Grußkarte" offenbart – bereit zum Kopieren und Einfügen in das
+Anmeldefeld.
+Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen
+stellt sich durch diese erneute Schwachstelle die Frage immer
+eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die
+Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten,
+die für haefft.de verantwortliche Webagentur schalk&friends verfügt
+offenbar nicht über genügend Sachverstand und hat sich erst nach
+mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die
+löchrige Plattform vom Netz zu nehmen. Jedoch sollten Datenpannen
+ausgerechnet in Systemen, die hauptsächlich Kinder ansprechen, von
+vornherein ausgeschlossen sein. Eine öffentliche Diskussion ist lange
+überfällig. Der an den Tag gelegte Leichtsinn im Umgang mit persönlichen
+Daten – noch dazu mit denen von Kindern – gehört zu den schlimmsten
+Datenverbrechen unserer Zeit. Doch nicht nur technische Datenlecks
+lassen die Frage nach dem Gefahrenpotential der gehorteten Daten
+aufkommen: Was geschieht beispielsweise mit ihnen, wenn der Betreiber
+pleitegeht, übernommen oder weiterverkauft wird?
+Der Sprecher des CCC, Dirk Engling, faßt das Problem plastisch zusammen:
+"Persönliche Daten sind wie Plutonium. Wenn zuviele davon auf einem
+Haufen liegen, wird es kritisch." Zu den technischen Details konstatiert
+er: "Die Entwickler bei haefft.de haben sich dabei so ziemlich alle
+Anfänger-Programmierfehler geleistet." Die Kennwörter waren nicht wie
+üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit
+dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die
+Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten
+des Benutzers wurden ungefiltert als Befehl an die Datenbank
+weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung
+der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.
+"Um die Größenordnung des Problems zu verstehen, muß betont werden, daß
+hier von einem Totalversagen der Programmierer, aber auch schon bei der
+Konzeption der Plattform auszugehen ist. Dies führte dazu, daß alle
+Daten der Kinder zugänglich waren," erläuterte Engling. "Es gab nicht
+einmal rudimentäre Sicherungen, die Sorgfaltspflichten für den Umgang
+mit derartig sensiblen Daten wurden sträflich verletzt."
+Der CCC fordert seit Jahren die Verschärfung der Haftung für derartige
+Datenverbrechen sowie umfangreiche Mitteilungspflichten für
+datenverarbeitende Unternehmen. Angesichts der sich häufenden Probleme
+gerade bei Datensammlern, die Kinder und Jugendliche ansprechen, sind
+dringlich straffe gesetzliche Regelungen erforderlich, die derartige
+Geschäftsmodelle unterbinden.
author	46halbe <46halbe@berlin.ccc.de>	2009-12-04 23:29:30 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:38:44 +0000
commit	8e805cde9a36b13139b5ef7e26c7fd23d251ea70 (patch)
tree	d1b0124ec6976f5d5b515d5906c5436d63b8a2f1 /updates/2009
parent	1e05e1f27a7f2938c9ea5e078f3621899e209bd0 (diff)

diff --git a/updates/2009/haefft-datenloch.md b/updates/2009/haefft-datenloch.md new file mode 100644 index 00000000..b5a03b7f --- /dev/null +++ b/updates/2009/haefft-datenloch.md
@@ -0,0 +1,65 @@
	1	title: Datenskandal bei haefft.de: Privatleben von tausenden Kindern offen im Netz
	2	date: 2009-12-04 22:48:00
	3	updated: 2009-12-04 23:29:30
	4	author: presse
	5	tags: update, pressemitteilung, datenverbrechen
	6
	7	Private Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich. haefft.de ist eines von mehreren Social-Network-Unternehmen in Deutschland, deren fragwürdiges Geschäftsmodell die Erfassung, Speicherung und Auswertung intimster Daten von Kindern und Jugendlichen ist. Über die unter Kindern bekannte Plattform sammelt der Betreiber Haefft-Verlag Informationen wie Fotos, Adressen, Freunde, Hobbies, Vorlieben und private Nachrichten von Schülern untereinander. Der Chaos Computer Club (CCC) hat die Betreiber informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Zum Schutz der Kinder ist dies nun erfolgt.
	8
	9	<!-- TEASER_END -->
	10
	11	Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein.
	12	Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle
	13	hinterlegten Daten der Schüler eingesehen werden. Selbst die
	14	Admininstrationskonten der offenkundig ungesicherten Plattform waren
	15	frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller
	16	Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke
	17	aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes
	18	Kind ausgeben und als dieses in der Community agieren. Dafür machte es
	19	haefft.de Neugierigen besonders leicht: Passende und ständig neue
	20	Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per
	21	"Grußkarte" offenbart – bereit zum Kopieren und Einfügen in das
	22	Anmeldefeld.
	23
	24	Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen
	25	stellt sich durch diese erneute Schwachstelle die Frage immer
	26	eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die
	27	Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten,
	28	die für haefft.de verantwortliche Webagentur schalk&friends verfügt
	29	offenbar nicht über genügend Sachverstand und hat sich erst nach
	30	mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die
	31	löchrige Plattform vom Netz zu nehmen. Jedoch sollten Datenpannen
	32	ausgerechnet in Systemen, die hauptsächlich Kinder ansprechen, von
	33	vornherein ausgeschlossen sein. Eine öffentliche Diskussion ist lange
	34	überfällig. Der an den Tag gelegte Leichtsinn im Umgang mit persönlichen
	35	Daten – noch dazu mit denen von Kindern – gehört zu den schlimmsten
	36	Datenverbrechen unserer Zeit. Doch nicht nur technische Datenlecks
	37	lassen die Frage nach dem Gefahrenpotential der gehorteten Daten
	38	aufkommen: Was geschieht beispielsweise mit ihnen, wenn der Betreiber
	39	pleitegeht, übernommen oder weiterverkauft wird?
	40
	41	Der Sprecher des CCC, Dirk Engling, faßt das Problem plastisch zusammen:
	42	"Persönliche Daten sind wie Plutonium. Wenn zuviele davon auf einem
	43	Haufen liegen, wird es kritisch." Zu den technischen Details konstatiert
	44	er: "Die Entwickler bei haefft.de haben sich dabei so ziemlich alle
	45	Anfänger-Programmierfehler geleistet." Die Kennwörter waren nicht wie
	46	üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit
	47	dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die
	48	Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten
	49	des Benutzers wurden ungefiltert als Befehl an die Datenbank
	50	weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung
	51	der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.
	52
	53	"Um die Größenordnung des Problems zu verstehen, muß betont werden, daß
	54	hier von einem Totalversagen der Programmierer, aber auch schon bei der
	55	Konzeption der Plattform auszugehen ist. Dies führte dazu, daß alle
	56	Daten der Kinder zugänglich waren," erläuterte Engling. "Es gab nicht
	57	einmal rudimentäre Sicherungen, die Sorgfaltspflichten für den Umgang
	58	mit derartig sensiblen Daten wurden sträflich verletzt."
	59
	60	Der CCC fordert seit Jahren die Verschärfung der Haftung für derartige
	61	Datenverbrechen sowie umfangreiche Mitteilungspflichten für
	62	datenverarbeitende Unternehmen. Angesichts der sich häufenden Probleme
	63	gerade bei Datensammlern, die Kinder und Jugendliche ansprechen, sind
	64	dringlich straffe gesetzliche Regelungen erforderlich, die derartige
	65	Geschäftsmodelle unterbinden.