Alphabay: Darknet-Marktplatz leakt Privatnachrichten durch eigene API

Ein illegaler Marktplatz für Drogen und Waffen wollte seinen Händlern mit einer API das Leben erleichtern. Doch das ging ordentlich daneben.

Artikel von veröffentlicht am
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt.
Auf illegalen Marktplätzen werden Waffen und Drogen angeboten - hier bei einer Razzia sichergestellt. (Bild: Phil Walter/Getty Images)

Der Darknet-Marktplatz Alphabay hat vor einigen Tagen eine Programmierschnittstelle (API) freigeschaltet, doch offenbar hat die Software schwere Sicherheitslücken gehabt, wie Reddit-Nutzer bestätigen. Mit der Schnittstelle sollte es Mitgliedern des Marktplatzes ermöglicht werden, automatisiert auf bestimmte Funktionen des Marktplatzes zuzugreifen. Offenbar ging der Zugriff allerdings etwas zu weit.

Stellenmarkt
  1. IT Trainee / Graduate Program (all genders) - Information Systems to keep the lights on
    TenneT TSO GmbH, Bayreuth / Arnhem (Niederlande)
  2. Gruppenleiter (m/w/d) Produktrealisierung Leben
    VPV Versicherungen, Stuttgart
Detailsuche

Über die API habe er Zugriff auf private Nachrichten zwischen verschiedenen Nutzern und Händlern bekommen, schreibt ein Reddit-Nutzer im Alphabay-Thread. Wer den API-Key "/api.php?apikey=ENTER_YOUR_API_KEY_HERE&module=messages&\ id=ENTER_ANY_NUMBER_TO_VIEW_USERS_MESSAGES" manipuliere, könne auf alle PMs anderer Nutzer zugreifen.

Drohungen gegen Marktplatzbetreiber

Der Fehler wurde mittlerweile behoben, der Marktplatz war zwischenzeitlich offline. Alphabay gilt zurzeit als einer der größten Marktplätze für Drogen, Waffen und illegale Software. Die Nutzer der Plattform reagieren gereizt. Auf die Löschung eines Reddit-Diskussionsstrangs zur vorübergehenden Schließung reagierten Nutzer verärgert. Alphabay schrieb daraufhin: "Ja, wir haben Mist gebaut. Aber das ist kein Grund, hier mit Millionen Drohungen zu reagieren."

Angeblich hat der Entdecker des Fehlers sogar einen Bug-Bounty bekommen. Die Zahlung dürfte eher in Bitcoin abgewickelt werden als über Hackerone oder Bugcrowd. Der Bug wurde nicht nur im offenen Reddit-Thread bestätigt, sondern auch im Forum auf der .Onion-Seite von Alphabay.

Golem Karrierewelt
  1. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    14.-18.11.2022, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Viele der Nachrichten auf der Seite werden mit PGP verschlüsselt - das wird von den Betreibern auch empfohlen. Doch es finden sich auch unverschlüsselte Nachrichten verunsicherter Käufer: "Hey Bro, kannst du die Sendung bitte verschicken oder das Geld zurückschicken. Ich warte immer noch. Bitte betrüge mich nicht. Ich habe mir den Arsch dafür abgearbeitet", soll ein Nutzer geschrieben haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anonymer Nutzer 28. Apr 2016

Genau wäre das der Fall, müsste man auch von Illegalen-Waffen und Illegalen-Drogen sprechen.

hg (Golem.de) 27. Apr 2016

Reddit ist in diesem Fall eine der Quellen. Wie ich aber auch schreibe, wurde die...



Aktuell auf der Startseite von Golem.de
Deutsche Bahn
9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
Artikel
  1. Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
    Ukrainekrieg
    Erster Einsatz einer US-Kamikazedrohne dokumentiert

    Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

  2. Urheberrecht: Seth Greens Affe ist entführt worden
    Urheberrecht
    Seth Greens Affe ist entführt worden

    Per Phishing-Angriff ist dem Schauspieler sein Bored-Ape-NFT entwendet worden. Das bringt seine neue Serie in Gefahr.

  3. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /