Datenskandal bei haeft.de
Das ist ja wohl mal der Hammer. haeft.de eine Community für Kinder war offen wie ein Scheunentor. Die Seite wurde nun bis auf weiteres offline genommen.
Hier ein Auszug aus der Pressemeldung von CCC.de:
Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein. Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle hinterlegten Daten der Schüler eingesehen werden. Selbst die Administrationskonten der offenkundig ungesicherten Plattform waren frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren. Dafür machte es haefft.de Neugierigen besonders leicht: Passende und ständig neue Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per “Grußkarte” offenbart – bereit zum Kopieren und Einfügen in das Anmeldefeld.
Schockierend! Noch etwas detailreicher bringt es Dirk auf den Punkt:
“Die Entwickler bei haefft.de haben sich dabei so ziemlich alle Anfänger-Programmierfehler geleistet.” Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.
Quelle: http://www.ccc.de/de/updates/2009/haefft-datenloch
Hier wurde also eine Plattform betrieben, die auf Kinder, nicht ältere Schüler oder Studenten, sondern Schulkinder ab Grundschulalter ausgerichtet war, bei deren Konzeption und Umsetzung jegliche Grundprinzipien der sicheren Programmierung für Webanwendungen missachtet wurden.
Sehr witzig finde ich die Pressemeldung von haeft.de
Der Geschäftsführer Stefan Klingberg meint:
Im Moment gehe der Verlag davon aus, dass es sich ausschließlich um ein bereits gefixtes potenzielles und noch nicht reales Problem handele
Ein paar Sätze weiter steht:
Unter Hochdruck arbeiten wir derzeit an der Beseitigung der Sicherheitslücken. Ein aktueller Termin, wann die Probleme behoben sein werden, kann im Moment noch nicht gegeben werden.
Wie passt das denn zusammen? “Bereits gefixt” und “Unter Hochdruck arbeiten wir bereits an einer Beseitigung der Sicherheitslücken”? Das Problem scheint ja doch nicht so trivial zu sein, denn sie wissen nicht, wann sie wieder online gehen können.
Quelle: http://presse.haefft.de/?p=401
Wie passt das denn alles zusammen? Für eine Community die es seit 1998 gibt (ich glaube vorher hieß das Ganze funcity.de) ist das aber ein herber Schnitzer. Wurde an dem Code seit dem nix mehr gemacht? Gab es die Lücken etwa seit 1998? Sieht fast so aus. :)
Eigentlich müsste man den Verantwortlichen verbieten weiterhin in diesem Bereich zu arbeiten, und für solche Angebote strengste Kriterien bezüglich Sicherheitsmaßnahmen auferlegen. Das vielgepriesene TÜV-Siegel ist ja, wie wir im Falle Libri gemerkt haben, kein Garant für sichere Anwendungen.
Daher muss meiner Meinung nach der Gesetzgeber sofort einschreiten und mit Hilfe von unabhängigen Experten Routinen und Verfahren austüfteln, wie eine Evaluierung der Sicherheit solcher Portale realisierbar ist. Und zwar so, dass es wirklich was bringt. Sich so ein Siegel beim TÜV zu kaufen sollte nicht ausreichen. :)
Ich hoffe, dass haeft.de nach dem Fixen Ihres Portals externe Pentester und Leute die sich den Code sehr genau angucken einkauft. Alles andere wäre unverantwortlich und gehört bestraft.
05 Dez 2009 3 Meinungen Tweet thisDas Wahlstiftdebakel
Vielleicht erinnert sich der ein oder andere an den Versuch der »Arbeitsgemeinschaft Wahlstift« in Hamburg mit ihrem Produkt Fuss zu fassen, und der Stadt ihr Produkt für ihre Wahlen anzudrehen. Damals fanden ein paar findige CCC’ler aus Hamburg heraus, wie die Funktionsweise des Wahlstiftes sehr einfach zu manipulieren war.
Daraufhin verkündete der CCC Hamburg, sie hätten den Wahlstift gehackt. Gegen diese Verlautbarung klagte die »ARGE Wahlstift« 2008 und bekam, soweit ich mich erinnern kann, in erster Instanz recht. Der CCC hatte angeblich falsche Tatsachen behauptet und sah sich nun den Folgen des Verfahrens gegenüber.
Die »ARGE Wahlstift« hing ihre Klage daran auf, dass die Technik des Wahlstiftes nicht gehackt worden sei. In Wirklichkeit wurde auch nicht der Stift gehackt, sondern das System wie der Stift die Stimmen zählte. Mit einem handelsüblichen Scanner und einem einigermaßen guten Drucker konnten manipulierte Wahlzettel gedruckt werden. Der Stift ermittelte nämlich seine Position auf dem Papier und damit auch die Partei für die die Stimme abgegeben wurde, anhand einer Matrix aus Mikropunkten. Diese konnte jedoch ziemlich einfach gescannt, im Photoshop/GIMP ersetzt und mit einem Handelsüblichen Farblaserdrucker wieder ausgedruckt werden.
Inzwischen gibt es ein neues Urteil in dem der CCC Recht zugesprochen bekommen hat.
Hier die Meldung von ccc.de http://ccc.de/de/updates/2009/wahlstift-hersteller-mussen-gerichtliche-schlappe-gegen-den-chaos-computer-club-einstecken
Ende gut, alles gut. (Hoffentlich)
17 Nov 2009 Noch keine Meinung Tweet thisPGP: B4A7 2A83 77BD 64EF CA1A
6BBD 7E49 4DFC 2832 6C77
Skype: julius.zeidler
Jabber: julius.zeidler@jabber.ccc.de
//Mediengestalter
/InDesign/Photoshop/Illustrator
//CCC/Nerd
