Datenskandale noch und nöcher.
Derzeit ist es das Kinderportal haefft.de.
Würde mich ansich ja nicht sonderlich jucken bzw. wäre mir keine extra Erwähnung wert.
Nun habe ich bei im Bericht von netzpolitik aber einen kleinen Auszug aus dem Statement des CCC gelesen wo ich mich echt fragen muss wer bei haefft für die Datenbanbank verantwortlich ist. Der 3 jährige Sohn des Inhabers?
So heisst es im CCC Statement:
Der Sprecher des CCC, Dirk Engling, faßt das Problem plastisch zusammen: “Persönliche Daten sind wie Plutonium. Wenn zuviele davon auf einem Haufen liegen, wird es kritisch.” Zu den technischen Details konstatiert er: “Die Entwickler bei haefft.de haben sich dabei so ziemlich alle Anfänger-Programmierfehler geleistet.” Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.
Äh… WTF?
Speicherug um Klartext?
LIKE OPERATOR!?!?!?!?!?!?!!?
select user from user_table where password like ‘%a%’ ?
Besoffen? Das ist in der Tat schon grob fahrlässig. Da kann man die Daten auch gleich auf die Startseite schreiben.
Alter…
Laut netzpolitik gab es von haefft.de auch eine (inzwischen gelöschte) Presseerklärung:
Der wichtigste Sicherheitsaspekt von Haefft.de ist dem technikorientierten CCC aber vermutlich nicht bekannt. Seit 2000 arbeiten wir mit einem engagierten Netz an Haefft.de-Moderatoren, die sich nach besten Kräften darum kümmern, dass in den Foren und im Chat kein Platz für sexistische, gewaltverrlichende, rassistische oder sonstwie jugendgefährdende Inhalte ist. Diese “Haefft.de-Mods” leisten eine tolle Arbeit und sind unserer Überzeugung als Ergänzung um ein Vielfaches wichtiger als die 100%-Technik-Optimierung, die es vermutlich ohnehin nie geben wird.
LOL… 100% Technik Optimierung… 10% Sicherheitsstandards würden vorerst ja reichen.
Nix kapiert, setzen, sechs.
Benutze Kopf mit Wand…
December 9th, 2009 at 13:58
[...] 9th, 2009 by Chris Tags: development, sql Dec 09 Lately I came across a nice article at “der fiese Admin” about the security leak at a german portal for kids, that made me wonder about the work attitude of [...]
December 14th, 2009 at 15:42
hahaha! sehr genial, vor allem die presseerklärung, made my day !
January 15th, 2010 at 20:30
wie Geil ist denn bitte das??? Da könnte man im Bezug auf das Plutonium ja glatt verleitet sein zu sagen:
Es ist meiner Meinung nach wichtiger mehr Gesundheitsexperten in einem AKW zu beschäftigen damit die Mitarbeiter sich keine fiese Magenverstimmung holen als 100%ige Systemsicherheit…
(Ja ich weis das es im AKW kein Pu gibt)
Man, man da braucht man sich echt nicht wundern…
was auch extremst genial ist… wenn man jetzt mal bei haefft.de reinschaut kommt man nach haefft.wordpress.com mit folgender Begründung
“haefft.de im Exil
Dies ist der temporäre Überlebensraum von haefft.de. Seit der CCC uns auf eine Sicherheitslücke hingewiesen hat, ist Haefft.de leider offline. Damit ihr wenigstens wisst, was gerade bei uns passiert, haben wir diesen Blog eingerichtet.”
Wenigstens kann man bei einem Block keine Userdaten aufgrund schlechter, ach was sage ich kindischer, Programmierung riskieren
January 23rd, 2010 at 05:08
Das ist ja fast schon besser als die tolle GoogleBomb auf druckbombe.de/druckerei/* (mein persönlicher Favorit heute war ja http://www.druckbombe.de/druckerei/geld/index.html
Scheint aber mittlerweile als haben sie das gefixt[wer weiß was die für nen Traffic durch die ganzen Foren hatten auf denen solche netten Scherze gepostet wurden^^])
Aber mal ganz ehrlich, sollte es nicht gegen solche Dummheit schon langsam Gesetze geben?? Ich meine, da ist es mir doch 10 mal lieber, das Google alles über mich weiß, als das mein Passwort irgendwo im Klartext liegt!? Wenns geht dann auch noch eins was man vielleicht ein paar mal genutzt hat, da muss man dann nurnoch ne K=>V DB erstellen und schon kann sich ein kleiner Bot durch sämtliche Anmeldemasken wühlen wo man damit noch reinkommt xD
April 30th, 2010 at 22:21
Naja Passwörter im Klartext ist ja nicht so unüblich (auch wenn ich der Meinung bin eine Seite die Passwörter nicht verschlüsselt ist unseriös), zumindest gibt es noch einige Seiten bei denen man sich sein aktuelles Passwort per Mail zuschicken lassen kann und das geht ja schwer wenn sie verschlüsselt wären (ich lass mich gern eines besseren belehren. So gut kenne ich mich mit MySql nicht aus)
Aber die Abfrage per Like Operator? Das ist ja so ziemlich das schlimmste was man machen kann. Dann kann man auch gleich nur den Benutzernamen abfragen und das Passwort ganz weglassen.
July 21st, 2010 at 15:41
@Nicht der Admin:
Passwörter sollten grundsätzlich so codiert sein, das man mit dem verschlüsselten Passwort auf keinen Fall das Klartextpasswort bekommen kann. So kann man, falls jemand an die Datenbank kommt, immerhin verhindern, das sich derjenige mit den Passwörtern austobt.
Um das zu erreichen fällt allerdings schonmal einiges raus: natürlich das Passwort selbst, Verschlüsselungen, die in beide Richtungen funktionieren(zb. reines AES) oder auch MD5(zumindest nur MD5, Stichwort rainbow table).
Allerdings heißt das natürlich nicht, dass eine sichere Verschlüsselung alles ist. Man sollte sich z.B. genauso gegen Social Engineering, etc. gefeit machen, also z.B. eine gewisse Komplexität der Passwörter sollte gegeben sein und man kann die User nicht oft genug darauf hinweisen, dass ein Passwort nirgends außer in der Anmeldemaske abgefragt wird..