piwik no script img

Der CCC deckt aufKindernetzwerk mit Lücken

Nach der SchülerVZ-Sache jetzt ein neuer Fall: Auch das Kinder-Netzwerk haefft.de hatte eklatante Sicherheitslücken. Der CCC, der das aufdeckte, spricht von "Anfängerfehlern".

Nachdem kürzlich aufgedeckt wurde, dass das Kinder-Netzwerk SchülerVZ gravierende Sicherheitslücken hatte, jetzt ein neuer Fall: Der Chaos Computer Club (CCC) fand heraus, dass beim Kinder-Netzwerk haefft.de – betrieben vom Häfft-Schulbuchverlag – äußerst stümperhaft gearbeitet wurde.

"Die Anbieter konnen nicht einmal ein Mindestmaß an Sicherheit gewährleisten und verfügen offenbar nicht über genügend Sachverstand", so der CCC in einer Presseaussendung, "ohne Mühe und ohne Kenntnis der Paßworte konnten alle hinterlegten Daten der Schüler eingesehen werden". Selbst die Administratorkonten seien frei zugänglich gewesen.

CCC-Sprecher Dirk Engling hat sich genauer mit technischen Schlampereien bei Häfft beschäftigt: "Die Entwickler haben sich so ziemlich alle Anfänger-Programmierfehler geleistet, die man sich vorstellen kann." Die Kennwörter seien nicht wie üblich "gehasht", sondern im Klartext abgespeichert worden. Zudem wurden sie lediglich auf Ähnlichkeit verglichen und nicht genau abgefragt – "man konnte das Programm überreden, sich einzubilden, dass das Passwort richtig ist", erklärt Frank Rieger, ebenfalls vom CCC.

Besonders peinlich: Die Nutzerdaten wurden ungefiltert und überdies als Befehl an die Datenbank weitergereicht. Auch seien "marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie https bei haefft.de offenbar unbekannt", übte sich der CCC in Sarkasmus.

haefft.de ist derzeit offline. "Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen." In einer Art Fünf-Punkte-Plan gelobt Häfft Besserung, unter anderem kündigt die Firma auch an, dass sie eine Sicherheitsfirma beauftragen wird, die das Portal vor einer abermaligen Freischaltung auf Sicherheitslücken prüfen soll.

Die taz gehört zu 100 Prozent ihren Leser:innen und ist damit nicht nur konzernfrei, sondern auch kostenfrei zugänglich. Alle Artikel stellen wir frei zur Verfügung, ohne Paywall. Gerade in diesen Zeiten müssen Einordnungen und Informationen allen zugänglich sein. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass kritischer, unabhängiger Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung für taz zahl ich. Dank Ihnen haben wir nun die 50.000 erreicht. So viele unterstützen freiwillig und regelmäßig. Noch nicht dabei? Werden Sie jetzt Teil der Community! Jetzt unterstützen

4 Kommentare

 / 
  • S
    spirou

    ccc! ole! ole!

  • CA
    Christian Alexander Tietgen

    JA. SchülerVZ ist schon ziemlich gut abgesichert und schlimmer geht es immer.

  • S
    Sub

    Echt, wir können froh sein, dass wir den CCC haben. Wir brauchen die!

  • JJ
    Jens Jackowski

    Gute Arbeit vom CCC.