Datenskandal bei haeft.de

Das ist ja wohl mal der Hammer. haeft.de eine Community für Kinder war offen wie ein Scheunentor. Die Seite wurde nun bis auf weiteres offline genommen.

Hier ein Auszug aus der Pressemeldung von CCC.de:

Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein. Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle hinterlegten Daten der Schüler eingesehen werden. Selbst die Administrationskonten der offenkundig ungesicherten Plattform waren frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren. Dafür machte es haefft.de Neugierigen besonders leicht: Passende und ständig neue Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per “Grußkarte” offenbart – bereit zum Kopieren und Einfügen in das Anmeldefeld.

Schockierend! Noch etwas detailreicher bringt es Dirk auf den Punkt:

“Die Entwickler bei haefft.de haben sich dabei so ziemlich alle Anfänger-Programmierfehler geleistet.” Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.

Quelle: http://www.ccc.de/de/updates/2009/haefft-datenloch

Hier wurde also eine Plattform betrieben, die auf Kinder, nicht ältere Schüler oder Studenten, sondern Schulkinder ab Grundschulalter ausgerichtet war, bei deren Konzeption und Umsetzung jegliche Grundprinzipien der sicheren Programmierung für Webanwendungen missachtet wurden.

Sehr witzig finde ich die Pressemeldung von haeft.de

Der Geschäftsführer Stefan Klingberg meint:

Im Moment gehe der Verlag davon aus, dass es sich ausschließlich um ein bereits gefixtes potenzielles und noch nicht reales Problem handele

Ein paar Sätze weiter steht:

Unter Hochdruck arbeiten wir derzeit an der Beseitigung der Sicherheitslücken. Ein aktueller Termin, wann die Probleme behoben sein werden, kann im Moment noch nicht gegeben werden.

Wie passt das denn zusammen? “Bereits gefixt” und “Unter Hochdruck arbeiten wir bereits an einer Beseitigung der Sicherheitslücken”? Das Problem scheint ja doch nicht so trivial zu sein, denn sie wissen nicht, wann sie wieder online gehen können.
Quelle: http://presse.haefft.de/?p=401

Wie passt das denn alles zusammen? Für eine Community die es seit 1998 gibt (ich glaube vorher hieß das Ganze funcity.de) ist das aber ein herber Schnitzer. Wurde an dem Code seit dem nix mehr gemacht? Gab es die Lücken etwa seit 1998? Sieht fast so aus. :)

Eigentlich müsste man den Verantwortlichen verbieten weiterhin in diesem Bereich zu arbeiten, und für solche Angebote strengste Kriterien bezüglich Sicherheitsmaßnahmen auferlegen. Das vielgepriesene TÜV-Siegel ist ja, wie wir im Falle Libri gemerkt haben, kein Garant für sichere Anwendungen.

Daher muss meiner Meinung nach der Gesetzgeber sofort einschreiten und mit Hilfe von unabhängigen Experten Routinen und Verfahren austüfteln, wie eine Evaluierung der Sicherheit solcher Portale realisierbar ist. Und zwar so, dass es wirklich was bringt. Sich so ein Siegel beim TÜV zu kaufen sollte nicht ausreichen. :)

Ich hoffe, dass haeft.de nach dem Fixen Ihres Portals externe Pentester und Leute die sich den Code sehr genau angucken einkauft. Alles andere wäre unverantwortlich und gehört bestraft.