Abo
  • Services:

Alphabay: Darknet-Marktplatz leakt Privatnachrichten durch eigene API

Ein illegaler Marktplatz für Drogen und Waffen wollte seinen Händlern mit einer API das Leben erleichtern. Doch das ging ordentlich daneben.

Artikel von veröffentlicht am
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt.
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt. (Bild: Phil Walter/Getty Images)

Der Darknet-Marktplatz Alphabay hat vor einigen Tagen eine Programmierschnittstelle (API) freigeschaltet, doch offenbar hat die Software schwere Sicherheitslücken gehabt, wie Reddit-Nutzer bestätigen. Mit der Schnittstelle sollte es Mitgliedern des Marktplatzes ermöglicht werden, automatisiert auf bestimmte Funktionen des Marktplatzes zuzugreifen. Offenbar ging der Zugriff allerdings etwas zu weit.

Stellenmarkt
  1. Veridos GmbH, München
  2. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Ilmenau

Über die API habe er Zugriff auf private Nachrichten zwischen verschiedenen Nutzern und Händlern bekommen, schreibt ein Reddit-Nutzer im Alphabay-Thread. Wer den API-Key "/api.php?apikey=ENTER_YOUR_API_KEY_HERE&module=messages&\ id=ENTER_ANY_NUMBER_TO_VIEW_USERS_MESSAGES" manipuliere, könne auf alle PMs anderer Nutzer zugreifen.

Drohungen gegen Marktplatzbetreiber

Der Fehler wurde mittlerweile behoben, der Marktplatz war zwischenzeitlich offline. Alphabay gilt zurzeit als einer der größten Marktplätze für Drogen, Waffen und illegale Software. Die Nutzer der Plattform reagieren gereizt. Auf die Löschung eines Reddit-Diskussionsstrangs zur vorübergehenden Schließung reagierten Nutzer verärgert. Alphabay schrieb daraufhin: "Ja, wir haben Mist gebaut. Aber das ist kein Grund, hier mit Millionen Drohungen zu reagieren."

Angeblich hat der Entdecker des Fehlers sogar einen Bug-Bounty bekommen. Die Zahlung dürfte eher in Bitcoin abgewickelt werden als über Hackerone oder Bugcrowd. Der Bug wurde nicht nur im offenen Reddit-Thread bestätigt, sondern auch im Forum auf der .Onion-Seite von Alphabay.

Viele der Nachrichten auf der Seite werden mit PGP verschlüsselt - das wird von den Betreibern auch empfohlen. Doch es finden sich auch unverschlüsselte Nachrichten verunsicherter Käufer: "Hey Bro, kannst du die Sendung bitte verschicken oder das Geld zurückschicken. Ich warte immer noch. Bitte betrüge mich nicht. Ich habe mir den Arsch dafür abgearbeitet", soll ein Nutzer geschrieben haben.



Anzeige
Top-Angebote
  1. 319,90€ (Bestpreis!)
  2. ab 23,60€
  3. (u. a. Akkuschrauber 25,99€, Schlagbohrmaschine 60,99€)

Anonymer Nutzer 28. Apr 2016

Genau wäre das der Fall, müsste man auch von Illegalen-Waffen und Illegalen-Drogen sprechen.

hg (Golem.de) 27. Apr 2016

Reddit ist in diesem Fall eine der Quellen. Wie ich aber auch schreibe, wurde die...


Folgen Sie uns
       


Tiemo Wölken (SPD) zu Artikel 13

Der SPD-Europaabgeordnete Tiemo Wölken hofft darauf, dass das Europaparlament am 26. März 2019 den umstrittenen Artikel 13 noch ablehnt.

Tiemo Wölken (SPD) zu Artikel 13 Video aufrufen
Programmierer: Wenn der Urheber gegen das Urheberrecht verliert
Programmierer
Wenn der Urheber gegen das Urheberrecht verliert

Der nun offiziell beendete GPL-Streit zwischen Linux-Entwickler Christoph Hellwig und VMware zeigt eklatant, wie schwer sich moderne Software-Entwicklung im aktuellen Urheberrecht abbilden lässt. Immerhin wird klarer, wie derartige Klagen künftig gestaltet werden müssen.
Eine Analyse von Sebastian Grüner

  1. Urheberrecht Frag den Staat darf Glyphosat-Gutachten nicht publizieren
  2. Vor der Abstimmung Mehr als 100.000 Menschen demonstrieren gegen Uploadfilter
  3. Uploadfilter SPD setzt auf Streichung von Artikel 13

Verschlüsselung: Ärger für die PGP-Keyserver
Verschlüsselung
Ärger für die PGP-Keyserver

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.
Ein Bericht von Hanno Böck

  1. OpenPGP/GnuPG Signaturen fälschen mit HTML und Bildern
  2. GPG-Entwickler Sequoia-Projekt baut OpenPGP in Rust

ANC-Kopfhörer im Test: Mit Ach und Krach
ANC-Kopfhörer im Test
Mit Ach und Krach

Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
Ein Test von Ingo Pakalski

  1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
  2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
  3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses

    •  /