Haefft.de: Chaos Computer Club entdeckt Lücke

Der 'Chaos Computer Club' (CCC) hat die Betreiber der Online-Plattform Haefft auf eine kritische Sicherheitslücke aufmerksam gemacht. Das Angebot wurde inzwischen von den Betreibern bis auf Weiteres vom Netz genommen. Wie der CCC berichtete waren alle gespeicherten Daten der Nutzer ohne große Umstände einsehbar. An und für sich sind die Accounts zwar mit einem Passwort geschützt. Doch auch ohne dieses Passwort zu kennen, könne man die Daten einsehen, so der CCC. Neben den Nutzer-Accounts soll dies auch bei den Administrationskonten möglich sein.

Auf bekannte Verschlüsselungstechniken bei der Übertragung scheinen die Betreiber von Haefft.de verzichtet zu haben. Überdies wurden die Passwörter laut den Angaben des CCC im Klartext und nicht als Hashwert in der Datenbank gespeichert. Da hierbei ein sog. ILIKE-Operator zum Einsatz kam, habe sich die Abfrage der Passwörter auch umgehen lassen.

Wie bereits angesprochen ist das Angebot von Haefft derzeit nicht verfügbar. Auf der Webseite heißt es: "Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, die es notwendig machen, die Seite vorerst vom Netz zu nehmen. Wir überprüfen diesen Hinweis und arbeiten rund um die Uhr, um Haefft.de wieder an den Start zu bringen."

Auf der Haefft-Presseseite wollen die Betreiber aktuelle Meldungen zu diesem Thema veröffentlichen.