Heute um ca. 2 Uhr schaute ich kurz in meinen RSS-Reader, der noch rd. 800 News für mich bereithält, und las von “Datenskandal bei haefft.de: Privatleben von tausenden Kindern offen im Netz” (ccc.de)
Nur die Highlights daraus:

Private Daten von tausenden Kindern und Jugendlichen waren auf dem Kinderportal haefft.de für jeden Interessierten frei zugänglich.
(…)
Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein. Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle hinterlegten Daten der Schüler eingesehen werden.
(…)
Die Kennwörter waren (…) im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.

Passworte im Klartext speichern, das kennen wir ja schon von Symantec, aber diese dann nach Ähnlichkeit prüfen und nicht nach Gleichheit?

LIKE-Operator?! Watt’n datt scho widder?

LIKE ist ein Vergleichsoperator wie auch =, !=, < oder >. Vergleicht man z.B. eine Liste von IP-Adressen aus einer Webstatistik mit ‘ip’ LIKE ’65.55.%’, so werden einem alle Einträge angezeigt die mit ’65.55.’ anfangen, also Zugriffe die über die Microsoft-Suchmaschine Bing erfolgt sind.

Einige Beispiele:

• ‘abc’ LIKE ‘abc’ => wahr
• ‘abc’ LIKE ‘a%’ => wahr
• ‘abc’ LIKE %b%’ => wahr
• ‘abc’ LIKE ‘c’ => falsch

Aber, und das ist in diesem Fall entscheidend:

• ‘abc’ LIKE ‘%’ => immer wahr

Dies bedeutet… wir ahnen es schon… geben wir als Passwort % ein, so werden wir immer erfolgreich eingeloggt. Wer Passworte mit LIKE prüft, der sollte an der höchsten Rah an den Daumen aufgehängt werden.

Da ich kein Schiff zur Hand habe, nehme ich mal Google. ;O)


Die Seite wurde erst einmal vom Netz genommen, weswegen man auf http://www.haefft.de/ z.Zt. mit

Liebe Häfftlinge,

haefft.de ist leider offline. Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert,…

Das reicht mir schon… An diese Anrede “Häftlinge” könnte ich mich gewöhnen, wenn die Verantwortlichen hinter Gitter sitzen. “mögliche Sicherheitsprobleme”… “mögliche”… “MÖGLICHE”!


Am Freitag gab es dann auch einen Blogeintrag dazu, der aber mittlerweile gelöscht wurde, wie auch der zweite Eintrag vom Samstag. Heute Nacht habe ich, in weiser paranoider Voraussicht, die Texte gespeichert.

Sicherheitsupdate auf Haefft.de
(Blogeintrag wurde gelöscht. Stand: 2 Uhr, 06.12.2009)

Freitag, 4.12.09, 19:15 Uhr
(…)
“Uns liegen nach aktueller Sachlage keine Informationen vor, dass tatsächlich Daten geklaut worden wären. Wir prüfen den Sachverhalt genau, gehen aber im Moment ausschließlich von einer gut gemeinten Warnaktion aus. Überdies behalten wir uns rechtliche Schritte gegen jeglichen Missbrauch vor!”

Das Dumme an Daten ist nur… man merkt es kaum, wenn jemand sie nur kopiert!

Unter Hochdruck arbeiten wir derzeit an der Beseitigung der Sicherheitslücken.

Im Google-Cache findet man aber noch eine ältere Version, in der es heißt:

Unter Hochdruck arbeitet die Webagentur schalk&friends an der Beseitigung der Sicherheitslücken

Und noch etwas aus dem zweiten Blogeintrag, bevor ich zur Webagentur komme:

Sicherheitsupdate Haefft.de – Teil 2
(Blogeintrag wurde gelöscht. Stand: 2 Uhr, 06.12.2009)

Berlin/München, 5.12.2009
Stellungnahme des GescHÄFFTsführers Stefan Klingberg:

Wir bedanken uns beim Chaos Computer Club (CCC) für die bekannt gewordenen Sicherheitslücken in unserer Schüler-Community Haefft.de.

Bidde was? Für die Sicherheitslücken kann er sich bei seiner “Webagentur” bedanken, dem CCC gebührt der Dank dafür, dass sie ihn darauf hingewiesen haben.

(…)
Allerdings zeigt die Pressemitteilung des CCC, dass zum Thema Haefft.de sehr wenig Hintergrundwissen vorliegt und leider auch etliche Dinge schlicht falsch dargestellt sind:
(…)
3.) Die beschriebene Sicherheitslücke ist nach vielen Jahren erstmals von einem Computer-Fachmann aufgezeigt worden.

Und wieder… Bidde was? Was will uns der gute Mann sagen? Im letzten Jahrzehnt ist nichts, im Zusammenhang mit Datenmissbrauch, bekannt geworden und deswegen kann es ja gar nicht so schlimm sein?!

4.) Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, (…)

Das kann ja nur bedeuten: Hast du gute Moderatoren, so ist das Ausspähen von persönlichen Daten halb so schlimm!

6.) Wir als Betreiber sind uns unserer Verantwortung gegenüber unseren Usern bewusst und versuchen mit geringen Mitteln eine kleine, sympathische Community zu finanzieren und zu erhalten. Leider ist nicht immer alles finanzierbar, was technisch geboten wäre.

Kann man daraus ablesen, dass man schon länger um die Unzulänglichkeiten wüsste und nur das Geld fehlte um sie zu fixen?

Wir würden uns mehr Fairness gegenüber einer kleinen Schüler-Community mit 1,5 Mio. Page Impressions im Monat und deren Agenturen wünschen. Sonst gibt es im Netz bald nur noch die Schuelervzs und Facebooks der Konzerne dieser Welt …

Oh ja, die armen Kleinen, die brauchen sich nicht um Datenschutz und IT-Sicherheit kümmern. ;O)

Einen wesentlichen Sicherheitsaspekt, die Wachsamkeit und das Engagement unser ehrenamtlich tätigen Moderatoren, hat der CCC leider nicht berücksichtigt.

JA! Diese BÖSEN HACKER vom CCC haben ein Traditionsunternehmen, welches noch nie Probleme hatte, in den Dreck gezogen! ;O)

Da gilt wohl wieder wie so oft, frei nach Saint-Exupéry: “Das Wesentliche ist für die Augen unsichtbar.”

Auch hier: JA! Zum Glück hat Google eine große Festplatte, in der viele viele Seiten auch nach dem Löschen, noch aus dem Cache abrufbar sind.


Nun noch etwas zur “Webagentur”.

Der Ausgangspunkt, wodurch ich auf die Agentur gekommen bin, war der erste Blogeintrag, der noch im Google-Cache zu finden ist. Erst dadurch habe ich bemerkt, dass der Name der Agentur aus dem ersten Blogeintrag entfernt wurde, was ich schon auffällig finde. Kann es sein dass die Agentur da interveniert hat?

Eine Suche nach site:schalk-and-friends.de häfft (google.de) fördert ein paar Seiten zutage, die erst kürzlich gelöscht wurden. Wo ich mich frage, warum sie gelöscht wurden. Das schalk&friends die “Webagentur” hinter Häfft ist, ist doch kein Geheimnis?!

• “Es handelt sich dabei um ein Abbild der Seite, wie diese am
  23. Nov. 2009 19:20:07 GMT angezeigt wurde.”
  “schalk&friends freut sich: haefft.de laut AGOF die Nummer 1” (google.de – Cache)
• ” Es handelt sich dabei um ein Abbild der Seite, wie diese am
  25. Nov. 2009 00:07:54 GMT angezeigt wurde.”
  “Häfft-Relaunch: Mehr Spaß im Web” (google.de – Cache)
• “Es handelt sich dabei um ein Abbild der Seite, wie diese am
  2. Dez. 2009 02:07:58 GMT angezeigt wurde.”
  “Häfftcard – die neue Vorteilskarte für Jugendliche” (google.de – Cache)
• “Es handelt sich dabei um ein Abbild der Seite, wie diese am
  20. Okt. 2009 22:22:19 GMT angezeigt wurde”
  “Start der ersten Social Networking-Plattform für aktive Schüler” (google.de – Cache)

“Häfftig shoppen auf Haefft.de” (schalk-and-friends.de)

Hintergrund:
Haefft.de ist eine beliebte Jugend-Communitys im deutschen Web. 1990 startete alles mit der Idee, ein Hausaufgabenheft zu erstellen, das origineller ist als die Herkömmlichen.

Und die Google-Cache-Version, “wie diese am 30. Nov. 2009 13:02:27 GMT angezeigt wurde.”

Hintergrund:
Haefft.de ist eine der beliebtesten Jugend-Communitys im deutschen Web. 1990 startete alles mit der Idee, ein Hausaufgabenheft zu erstellen, das origineller ist als die Herkömmlichen – das “Häfft”. 2006 setzte schalk&friends den Relaunch, der 1998 gegründeten Häfft-Community, um.

Ich habe hier nur etwas per Google-Suche und Google-Cache zusammengetragen, es mag sich nun bitte jeder selber seine eigene Verschwörungstheorie zusammenspinnen, warum die Agentur so handelt oder ob dies alles nur Zufall ist.


Warum ich mir jetzt so viel Arbeit gemacht habe?

Ich finde es einfach zum KOTZEN, wenn Firmen mit den Daten, der Leichtgläubigkeit und dem entgegengebrachten Vertrauen, von Kindern und Jugendlichen ihr täglich Brot verdienen, Fehler machen und dann versuchen diese runterzuspielen oder sie gar ganz unter den Teppich zu kehren.


Zu den anderen Websites, die irgendwie zu Häfft gehören, sagen ich jetzt mal nichts…

4.) Der Häfft-Verlag wird eine Security Firma beauftragen, die das Internet Portal vor einer möglichen Freischaltung intensiv und umfassend testet.

Quelle: “Überarbeitung des Sicherheitskonzeptes von Haefft.de” (presse.haefft.de)

Es sollte das letzte Sparschwein geschlachtet werden, damit die “Security Firma” auch alle andern Seiten abklopfen kann.


Update: 0:20 Uhr – 07.12.2009
“Stellungnahme zur Meldung vom Chaos Computer Club (CCC) zu einem Sicherheitsproblem auf dem Portal www.haefft.de” (schalk-and-friends.de)

c) Die gesamte Webpräsenz besteht in den Grundlagen seit 1998 und wird nur teilweise von unserer Agentur betreut.
Darüber hinaus haben wir keine Gestaltungsmöglichkeiten. Insbesondere sind wir weder für das Hosting noch für das Datenschutzkonzept verantwortlich.

Wenn ich es richtig sehe, stand das Problem, welches der CCC gefunden hatte, nicht im Zusammenhang mit dem Hosting oder dem Datenschutzkonzept.

Vielleicht haben ja auch die Moderatoren selber am System rumgefingert:
“Bugs im Chat II” (google.de – Cache)

(…) das ich ab jetzt verantwortlich für die technische Entwicklung vom Chat bin. Kurz vorweg, wer mich nicht kennt: Ich bin kein bezahlter Programmierer von schalk & friends sondern langer Häfft-Freund und Moderator (…)