Schattenblick →INFOPOOL →COMPUTER → FAKTEN

SICHERHEIT/001: Datenskandal bei haefft.de - Privatleben tausender Kinder offen im Netz (CCC)


Chaos Computer Club - Chaos-Update vom 05.12.2009

Datenskandal bei haefft.de: Privatleben von tausenden Kindern offen im Netz


Private Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich. haefft.de ist eines von mehreren Social-Network-Unternehmen in Deutschland, deren fragwürdiges Geschäftsmodell die Erfassung, Speicherung und Auswertung intimster Daten von Kindern und Jugendlichen ist. Über die unter Kindern bekannte Plattform sammelt der Betreiber Haefft-Verlag Informationen wie Fotos, Adressen, Freunde, Hobbies, Vorlieben und private Nachrichten von Schülern untereinander. Der Chaos Computer Club (CCC) hat die Betreiber informiert und sie aufgefordert, das Angebot unverzüglich vom Netz zu nehmen. Zum Schutz der Kinder ist dies nun erfolgt.

Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein. Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle hinterlegten Daten der Schüler eingesehen werden. Selbst die Administrationskonten der offenkundig ungesicherten Plattform waren frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren. Dafür machte es haefft.de Neugierigen besonders leicht: Passende und ständig neue Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per "Grußkarte" offenbart - bereit zum Kopieren und Einfügen in das Anmeldefeld.

Nach den jüngsten Datenskandalen bei SchülerVZ und anderen Plattformen stellt sich durch diese erneute Schwachstelle die Frage immer eindringlicher, ob man solchen sozialen Netzwerken vertrauen darf. Die Anbieter können nicht einmal ein Mindestmaß an Sicherheit gewährleisten, die für haefft.de verantwortliche Webagentur schalk&friends verfügt offenbar nicht über genügend Sachverstand und hat sich erst nach mehreren Gesprächen bereiterklärt, dem Schutz der Kinder wegen die löchrige Plattform vom Netz zu nehmen. Jedoch sollten Datenpannen ausgerechnet in Systemen, die hauptsächlich Kinder ansprechen, von vornherein ausgeschlossen sein. Eine öffentliche Diskussion ist lange überfällig. Der an den Tag gelegte Leichtsinn im Umgang mit persönlichen Daten - noch dazu mit denen von Kindern - gehört zu den schlimmsten Datenverbrechen unserer Zeit. Doch nicht nur technische Datenlecks lassen die Frage nach dem Gefahrenpotential der gehorteten Daten aufkommen: Was geschieht beispielsweise mit ihnen, wenn der Betreiber pleitegeht, übernommen oder weiterverkauft wird?

Der Sprecher des CCC, Dirk Engling, faßt das Problem plastisch zusammen: "Persönliche Daten sind wie Plutonium. Wenn zuviele davon auf einem Haufen liegen, wird es kritisch." Zu den technischen Details konstatiert er: "Die Entwickler bei haefft.de haben sich dabei so ziemlich alle Anfänger-Programmierfehler geleistet." Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.

"Um die Größenordnung des Problems zu verstehen, muß betont werden, daß hier von einem Totalversagen der Programmierer, aber auch schon bei der Konzeption der Plattform auszugehen ist. Dies führte dazu, daß alle Daten der Kinder zugänglich waren," erläuterte Engling. "Es gab nicht einmal rudimentäre Sicherungen, die Sorgfaltspflichten für den Umgang mit derartig sensiblen Daten wurden sträflich verletzt."

Der CCC fordert seit Jahren die Verschärfung der Haftung für derartige Datenverbrechen sowie umfangreiche Mitteilungspflichten für datenverarbeitende Unternehmen. Angesichts der sich häufenden Probleme gerade bei Datensammlern, die Kinder und Jugendliche ansprechen, sind dringlich straffe gesetzliche Regelungen erforderlich, die derartige Geschäftsmodelle unterbinden.

https://www.ccc.de/de/updates/2009/haefft-datenloch


*


Quelle:
Chaos-Update vom 05.12.2009
Chaos Computer Club e.V.
Lokstedter Weg 72, 20251 Hamburg
E-Mail: mail@ccc.de
Internet: www.ccc.de


veröffentlicht im Schattenblick zum 9. Dezember 2009