Alphabay: Darknet-Marktplatz leakt Privatnachrichten durch eigene API

Ein illegaler Marktplatz für Drogen und Waffen wollte seinen Händlern mit einer API das Leben erleichtern. Doch das ging ordentlich daneben.

Artikel von veröffentlicht am
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt.
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt. (Bild: Phil Walter/Getty Images)

Der Darknet-Marktplatz Alphabay hat vor einigen Tagen eine Programmierschnittstelle (API) freigeschaltet, doch offenbar hat die Software schwere Sicherheitslücken gehabt, wie Reddit-Nutzer bestätigen. Mit der Schnittstelle sollte es Mitgliedern des Marktplatzes ermöglicht werden, automatisiert auf bestimmte Funktionen des Marktplatzes zuzugreifen. Offenbar ging der Zugriff allerdings etwas zu weit.

Stellenmarkt
  1. IT-Techniker (m/w/d)
    ENERGY Radio NRJ GmbH, Hamburg, Berlin
  2. Leiter Digitale Projekte (m/w/d)
    DEHOGA Baden-Württemberg e. V., Stuttgart
Detailsuche

Über die API habe er Zugriff auf private Nachrichten zwischen verschiedenen Nutzern und Händlern bekommen, schreibt ein Reddit-Nutzer im Alphabay-Thread. Wer den API-Key "/api.php?apikey=ENTER_YOUR_API_KEY_HERE&module=messages&\ id=ENTER_ANY_NUMBER_TO_VIEW_USERS_MESSAGES" manipuliere, könne auf alle PMs anderer Nutzer zugreifen.

Drohungen gegen Marktplatzbetreiber

Der Fehler wurde mittlerweile behoben, der Marktplatz war zwischenzeitlich offline. Alphabay gilt zurzeit als einer der größten Marktplätze für Drogen, Waffen und illegale Software. Die Nutzer der Plattform reagieren gereizt. Auf die Löschung eines Reddit-Diskussionsstrangs zur vorübergehenden Schließung reagierten Nutzer verärgert. Alphabay schrieb daraufhin: "Ja, wir haben Mist gebaut. Aber das ist kein Grund, hier mit Millionen Drohungen zu reagieren."

Angeblich hat der Entdecker des Fehlers sogar einen Bug-Bounty bekommen. Die Zahlung dürfte eher in Bitcoin abgewickelt werden als über Hackerone oder Bugcrowd. Der Bug wurde nicht nur im offenen Reddit-Thread bestätigt, sondern auch im Forum auf der .Onion-Seite von Alphabay.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Viele der Nachrichten auf der Seite werden mit PGP verschlüsselt - das wird von den Betreibern auch empfohlen. Doch es finden sich auch unverschlüsselte Nachrichten verunsicherter Käufer: "Hey Bro, kannst du die Sendung bitte verschicken oder das Geld zurückschicken. Ich warte immer noch. Bitte betrüge mich nicht. Ich habe mir den Arsch dafür abgearbeitet", soll ein Nutzer geschrieben haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Form Energy
Eisen-Luft-Akku soll Energiespeicherprobleme lösen

Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
Eine Analyse von Frank Wunderlich-Pfeiffer

Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
Artikel
  1. Elektroautos: Amazon und Ford verhelfen Rivian zu weiteren Milliarden
    Elektroautos
    Amazon und Ford verhelfen Rivian zu weiteren Milliarden

    Der US-Elektroautohersteller Rivian hat weitere 2,5 Milliarden Dollar eingesammelt. Damit könnte ein zweiter Produktionsstandort gebaut werden.

  2. Brickit ausprobiert: Lego scannen einfach gemacht?
    Brickit ausprobiert
    Lego scannen einfach gemacht?

    Mit Kamera und Bilderkennung kann Brickit Lego digital einscannen. Das ist es aber nicht, was die App so praktisch macht.
    Ein Hands-on von Oliver Nickel

  3. Technologie: Ein Laser-Blitzableiter in den Alpen
    Technologie
    Ein Laser-Blitzableiter in den Alpen

    Flughäfen und andere große Anlagen können kaum vor Blitzeinschlägen geschützt werden. Ein Experiment mit einem Laser soll das ändern.

Anonymer Nutzer 28. Apr 2016

Genau wäre das der Fall, müsste man auch von Illegalen-Waffen und Illegalen-Drogen sprechen.

hg (Golem.de) 27. Apr 2016

Reddit ist in diesem Fall eine der Quellen. Wie ich aber auch schreibe, wurde die...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Bosch Professional Amazon-Exklusives günstiger • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 & Sony-TV-Aktion bei MM • New World vorbestellbar ab 39,99€ • Alternate (u. a. Deepcool RGB LED-Streifen 10,99€) • Apple Days [Werbung]
    •  /