From 8e805cde9a36b13139b5ef7e26c7fd23d251ea70 Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Fri, 4 Dec 2009 23:29:30 +0000 Subject: committing page revision 1 --- updates/2009/haefft-datenloch.md | 65 ++++++++++++++++++++++++++++++++++++++++ 1 file changed, 65 insertions(+) create mode 100644 updates/2009/haefft-datenloch.md (limited to 'updates') diff --git a/updates/2009/haefft-datenloch.md b/updates/2009/haefft-datenloch.md new file mode 100644 index 00000000..b5a03b7f --- /dev/null +++ b/updates/2009/haefft-datenloch.md @@ -0,0 +1,65 @@ +title: Datenskandal bei haefft.de: Privatleben von tausenden Kindern offen im Netz +date: 2009-12-04 22:48:00 +updated: 2009-12-04 23:29:30 +author: presse +tags: update, pressemitteilung, datenverbrechen + +Private Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich. haefft.de ist eines von mehreren Social-Network-Unternehmen in Deutschland, deren fragwürdiges Geschäftsmodell die Erfassung, Speicherung und Auswertung intimster Daten von Kindern und Jugendlichen ist. Über die unter Kindern bekannte Plattform sammelt der Betreiber Haefft-Verlag Informationen wie Fotos, Adressen, Freunde, Hobbies, Vorlieben und private Nachrichten von Schülern untereinander. Der Chaos Computer Club (CCC) hat die Betreiber informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Zum Schutz der Kinder ist dies nun erfolgt. + + + +Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein. +Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle +hinterlegten Daten der Schüler eingesehen werden. Selbst die +Admininstrationskonten der offenkundig ungesicherten Plattform waren +frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller +Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke +aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes +Kind ausgeben und als dieses in der Community agieren. Dafür machte es +haefft.de Neugierigen besonders leicht: Passende und ständig neue +Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per +"Grußkarte" offenbart – bereit zum Kopieren und Einfügen in das +Anmeldefeld. + +Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen +stellt sich durch diese erneute Schwachstelle die Frage immer +eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die +Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten, +die für haefft.de verantwortliche Webagentur schalk&friends verfügt +offenbar nicht über genügend Sachverstand und hat sich erst nach +mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die +löchrige Plattform vom Netz zu nehmen. Jedoch sollten Datenpannen +ausgerechnet in Systemen, die hauptsächlich Kinder ansprechen, von +vornherein ausgeschlossen sein. Eine öffentliche Diskussion ist lange +überfällig. Der an den Tag gelegte Leichtsinn im Umgang mit persönlichen +Daten – noch dazu mit denen von Kindern – gehört zu den schlimmsten +Datenverbrechen unserer Zeit. Doch nicht nur technische Datenlecks +lassen die Frage nach dem Gefahrenpotential der gehorteten Daten +aufkommen: Was geschieht beispielsweise mit ihnen, wenn der Betreiber +pleitegeht, übernommen oder weiterverkauft wird? + +Der Sprecher des CCC, Dirk Engling, faßt das Problem plastisch zusammen: +"Persönliche Daten sind wie Plutonium. Wenn zuviele davon auf einem +Haufen liegen, wird es kritisch." Zu den technischen Details konstatiert +er: "Die Entwickler bei haefft.de haben sich dabei so ziemlich alle +Anfänger-Programmierfehler geleistet." Die Kennwörter waren nicht wie +üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit +dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die +Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten +des Benutzers wurden ungefiltert als Befehl an die Datenbank +weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung +der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt. + +"Um die Größenordnung des Problems zu verstehen, muß betont werden, daß +hier von einem Totalversagen der Programmierer, aber auch schon bei der +Konzeption der Plattform auszugehen ist. Dies führte dazu, daß alle +Daten der Kinder zugänglich waren," erläuterte Engling. "Es gab nicht +einmal rudimentäre Sicherungen, die Sorgfaltspflichten für den Umgang +mit derartig sensiblen Daten wurden sträflich verletzt." + +Der CCC fordert seit Jahren die Verschärfung der Haftung für derartige +Datenverbrechen sowie umfangreiche Mitteilungspflichten für +datenverarbeitende Unternehmen. Angesichts der sich häufenden Probleme +gerade bei Datensammlern, die Kinder und Jugendliche ansprechen, sind +dringlich straffe gesetzliche Regelungen erforderlich, die derartige +Geschäftsmodelle unterbinden. -- cgit v1.2.3