Der Chaos Computer Club (CCC) entdeckte am 04.12.2009 auf haefft.de eine kritische Sicherheitslücke, die es Betrügern möglich macht, Benutzerdaten inklusive Passwort abzurufen. Sämtliche Daten wurden scheinbar ohne jegliche Verschlüsselung übertragen und die Passwörter der Benutzer waren als Reintext in der Datenbank gespeichert. Normalerweise greift man auf Hashmethoden, wie etwa md5 zurück, um Passwörter zu schützen.
Nach Bekanntwerden der Sicherheitslücke schaltete die Häfft-Verlag GmbH die komplette Webseite ab und arbeitet nun an einer Lösung des Problems. In der Pressemitteilung ist die Rede von einem “Programmierfehler bei der Passwortsicherung” – meiner Meinung nach wurde es schlicht und einfach vergessen, dass man Passwörter lieber verschlüsselt in einer Datenbank abspeichert.
“Ein engagierter Netz-Bürger hat uns über mögliche Sicherheitsprobleme bei Haefft.de informiert, …” – Die sollen lieber mal froh sein, dass es solche engagierten “Netz-Betrüger” gibt, sonst hätte es womöglich innerhalb kurzer Zeit den nächsten Datenskandal á la studiVz gegeben.
© 2009, Sebastian-Poeschl.de. Alle Rechte vorbehalten.
