• IT-Karriere:
  • Services:

Alphabay: Darknet-Marktplatz leakt Privatnachrichten durch eigene API

Ein illegaler Marktplatz für Drogen und Waffen wollte seinen Händlern mit einer API das Leben erleichtern. Doch das ging ordentlich daneben.

Artikel von veröffentlicht am
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt.
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt. (Bild: Phil Walter/Getty Images)

Der Darknet-Marktplatz Alphabay hat vor einigen Tagen eine Programmierschnittstelle (API) freigeschaltet, doch offenbar hat die Software schwere Sicherheitslücken gehabt, wie Reddit-Nutzer bestätigen. Mit der Schnittstelle sollte es Mitgliedern des Marktplatzes ermöglicht werden, automatisiert auf bestimmte Funktionen des Marktplatzes zuzugreifen. Offenbar ging der Zugriff allerdings etwas zu weit.

Stellenmarkt
  1. Polizeipräsidium Oberpfalz, Regensburg
  2. Stadt Bochum, Bochum

Über die API habe er Zugriff auf private Nachrichten zwischen verschiedenen Nutzern und Händlern bekommen, schreibt ein Reddit-Nutzer im Alphabay-Thread. Wer den API-Key "/api.php?apikey=ENTER_YOUR_API_KEY_HERE&module=messages&\ id=ENTER_ANY_NUMBER_TO_VIEW_USERS_MESSAGES" manipuliere, könne auf alle PMs anderer Nutzer zugreifen.

Drohungen gegen Marktplatzbetreiber

Der Fehler wurde mittlerweile behoben, der Marktplatz war zwischenzeitlich offline. Alphabay gilt zurzeit als einer der größten Marktplätze für Drogen, Waffen und illegale Software. Die Nutzer der Plattform reagieren gereizt. Auf die Löschung eines Reddit-Diskussionsstrangs zur vorübergehenden Schließung reagierten Nutzer verärgert. Alphabay schrieb daraufhin: "Ja, wir haben Mist gebaut. Aber das ist kein Grund, hier mit Millionen Drohungen zu reagieren."

Angeblich hat der Entdecker des Fehlers sogar einen Bug-Bounty bekommen. Die Zahlung dürfte eher in Bitcoin abgewickelt werden als über Hackerone oder Bugcrowd. Der Bug wurde nicht nur im offenen Reddit-Thread bestätigt, sondern auch im Forum auf der .Onion-Seite von Alphabay.

Viele der Nachrichten auf der Seite werden mit PGP verschlüsselt - das wird von den Betreibern auch empfohlen. Doch es finden sich auch unverschlüsselte Nachrichten verunsicherter Käufer: "Hey Bro, kannst du die Sendung bitte verschicken oder das Geld zurückschicken. Ich warte immer noch. Bitte betrüge mich nicht. Ich habe mir den Arsch dafür abgearbeitet", soll ein Nutzer geschrieben haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 79,99€ (bei razer.com)
  2. 26,73€ (bei otto.de)
  3. 57,99€
  4. 289,00€ (Bestpreis!)

Anonymer Nutzer 28. Apr 2016

Genau wäre das der Fall, müsste man auch von Illegalen-Waffen und Illegalen-Drogen sprechen.

hg (Golem.de) 27. Apr 2016

Reddit ist in diesem Fall eine der Quellen. Wie ich aber auch schreibe, wurde die...


Folgen Sie uns
       


Microsoft Surface Laptop 3 (15 Zoll) - Hands on

Der Surface Laptop 3 ist eine kleine, aber feine Verbesserung zum Vorgänger. Er bekommt ein größeres Trackpad, eine bessere Tastatur und ein größeres 15-Zoll-Display. Es bleiben die wenigen Anschlüsse.

Microsoft Surface Laptop 3 (15 Zoll) - Hands on Video aufrufen
Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  2. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2
  3. Micropython Das Pyboard D ist ein Steckbausatz für IoT-Bastler

Männer und Frauen in der IT: Gibt es wirklich Chancengleichheit in Deutschland?
Männer und Frauen in der IT
Gibt es wirklich Chancengleichheit in Deutschland?

Der Mann arbeitet, die Frau macht den Haushalt und zieht die Kinder groß - ein Bild aus längst vergangenen westdeutschen Zeiten? Nein, zeigen uns die aktuellen Zahlen. Nach wie vor sind die Rollenbilder stark, und das hat auch Auswirkungen auf den Anteil von Frauen in der IT-Branche.
Von Valerie Lux

  1. HR-Analytics Weshalb Mitarbeiter kündigen
  2. Frauen in der IT Ist Logik von Natur aus Männersache?
  3. IT-Jobs Gibt es den Fachkräftemangel wirklich?

    •  /