Abo
  • Services:
Anzeige
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt.
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt. (Bild: Phil Walter/Getty Images)

Alphabay: Darknet-Marktplatz leakt Privatnachrichten durch eigene API

Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt.
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt. (Bild: Phil Walter/Getty Images)

Ein illegaler Marktplatz für Drogen und Waffen wollte seinen Händlern mit einer API das Leben erleichtern. Doch das ging ordentlich daneben.
Von Hauke Gierow

Der Darknet-Marktplatz Alphabay hat vor einigen Tagen eine Programmierschnittstelle (API) freigeschaltet, doch offenbar hat die Software schwere Sicherheitslücken gehabt, wie Reddit-Nutzer bestätigen. Mit der Schnittstelle sollte es Mitgliedern des Marktplatzes ermöglicht werden, automatisiert auf bestimmte Funktionen des Marktplatzes zuzugreifen. Offenbar ging der Zugriff allerdings etwas zu weit.

Anzeige

Über die API habe er Zugriff auf private Nachrichten zwischen verschiedenen Nutzern und Händlern bekommen, schreibt ein Reddit-Nutzer im Alphabay-Thread. Wer den API-Key "/api.php?apikey=ENTER_YOUR_API_KEY_HERE&module=messages&\ id=ENTER_ANY_NUMBER_TO_VIEW_USERS_MESSAGES" manipuliere, könne auf alle PMs anderer Nutzer zugreifen.

Drohungen gegen Marktplatzbetreiber

Der Fehler wurde mittlerweile behoben, der Marktplatz war zwischenzeitlich offline. Alphabay gilt zurzeit als einer der größten Marktplätze für Drogen, Waffen und illegale Software. Die Nutzer der Plattform reagieren gereizt. Auf die Löschung eines Reddit-Diskussionsstrangs zur vorübergehenden Schließung reagierten Nutzer verärgert. Alphabay schrieb daraufhin: "Ja, wir haben Mist gebaut. Aber das ist kein Grund, hier mit Millionen Drohungen zu reagieren."

Angeblich hat der Entdecker des Fehlers sogar einen Bug-Bounty bekommen. Die Zahlung dürfte eher in Bitcoin abgewickelt werden als über Hackerone oder Bugcrowd. Der Bug wurde nicht nur im offenen Reddit-Thread bestätigt, sondern auch im Forum auf der .Onion-Seite von Alphabay.

Viele der Nachrichten auf der Seite werden mit PGP verschlüsselt - das wird von den Betreibern auch empfohlen. Doch es finden sich auch unverschlüsselte Nachrichten verunsicherter Käufer: "Hey Bro, kannst du die Sendung bitte verschicken oder das Geld zurückschicken. Ich warte immer noch. Bitte betrüge mich nicht. Ich habe mir den Arsch dafür abgearbeitet", soll ein Nutzer geschrieben haben.


eye home zur Startseite
Anonymer Nutzer 28. Apr 2016

Genau wäre das der Fall, müsste man auch von Illegalen-Waffen und Illegalen-Drogen sprechen.

hg (Golem.de) 27. Apr 2016

Reddit ist in diesem Fall eine der Quellen. Wie ich aber auch schreibe, wurde die...



Anzeige

Stellenmarkt
  1. SICK AG, Waldkirch bei Freiburg im Breisgau
  2. USG People Germany GmbH, München (Home-Office)
  3. Giesecke+Devrient Currency Technology GmbH, München
  4. M-net Telekommunikations GmbH, München, Augsburg


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. ab 14,99€
  3. täglich neue Deals

Folgen Sie uns
       


  1. Sony

    Online spielen auf der Playstation wird teurer

  2. Quartalszahlen

    Intel meldet Rekordumsatz für zweites Quartal 2017

  3. Deutsche Telekom

    Router-Hacker bekommt Bewährungsstrafe

  4. Gnome

    Freiheit ist mehr als nur Code

  5. For Honor

    Samurai, Wikinger und Ritter bekommen dedizierte Server

  6. Smartphones

    Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

  7. Docsis 3.0

    Huawei erreicht 1,6 GBit/s mit altem Kabelnetzstandard

  8. Tasty One Top

    Buzzfeed stellt vernetzte Kochplatte vor

  9. Automated Valet Parking

    Lass das Parkhaus das Auto parken!

  10. Log-in-Allianz

    Prosieben, GMX und Zalando starten Single-Sign-on-Dienst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  2. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  3. Asus Das Zenbook Flip S ist 10,9 mm flach

Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

  1. Re: Hab ich nie verstanden...

    Thunderbird1400 | 18:50

  2. Re: Mehr Ausbildung als notwendig

    redmord | 18:48

  3. Re: Da sind die Admins selbst dran schuld

    ArcherV | 18:48

  4. Re: Da ist die problematische Grundhaltung

    Seitan-Sushi-Fan | 18:48

  5. Re: Formel E - Nicht mein Fall

    schnedan | 18:47


  1. 16:55

  2. 16:28

  3. 15:11

  4. 14:02

  5. 13:44

  6. 13:00

  7. 12:45

  8. 12:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel