Atunci când vizitați site-ul eBay.com, acesta va rula un script care efectuează o scanare de port locală a computerului pentru a detecta asistența la distanță și aplicațiile de acces la distanță (remote programs).
Multe dintre aceste porturi sunt legate de accesul la distanță/instrumente de asistență la distanță, cum ar fi Windows Remote Desktop, VNC, TeamViewer, Ammy Admin și multe altele.
După ce au aflat despre aceasta, BleepingComputer a efectuat un test și poate confirma că eBay.com efectuează într-adevăr o scanare a porturilor locale cu 14 porturi diferite atunci când se vizitează site-ul.
Această scanare este realizată de un script check.js [arhivat] pe eBay.com care încearcă să se conecteze la următoarele porturi:
Cele paisprezece porturi diferite care sunt scanate și programele lor asociate și șirul de referință eBay sunt prezentate mai jos.
| Program | Nume Ebay | Port |
|---|---|---|
| Necunoscut | REF | 63333 |
| VNC | VNC | 5900 |
| VNC | VNC | 5901 |
| VNC | VNC | 5902 |
| VNC | VNC | 5903 |
| Remote Desktop Protocol | RDP | 3389 |
| Aeroadmin | ARO | 5950 |
| Ammyy Admin | AMY | 5931 |
| TeamViewer | TV0 | 5939 |
| TeamViewer | TV1 | 6039 |
| TeamViewer | TV2 | 5944 |
| TeamViewer | TV2 | 6040 |
| Anyplace Control | APC | 5279 |
| AnyDesk | ANY | 7070 |
BleepingComputer nu a reușit să identifice programul vizat în portul 63333.
Scriptul efectuează aceste scanări folosind WebSockets ca să se conecteze la 127.0.0.1, care este computerul local, în portul specificat.
Potrivit Nullsweep, care a raportat pentru prima dată despre scanări, acestea nu apar atunci când navighezi pe site via Linux.
Cu toate acestea, odată ce au testat în Windows, scanările portului au avut loc.
Acest lucru are sens, deoarece programele scanate sunt toate instrumentele de acces la distanță pe Windows.
Construit aievea pentru a detecta computerele hackuite
Întrucât scanarea portului caută doar programe de acces la distanță, este foarte probabil să verifice dacă există computere compromise folosite pentru a face cumpărături frauduloase pe eBay.
În 2016, se raporta mult despre faptul că multe dintre calculatoarele vizitatorilor erau preluate prin TeamViewer și făceau achiziții frauduloase pe eBay.
Deoarece mulți utilizatori eBay utilizează cookie-uri pentru a se autentifica automat pe site, atacatorii au putut controla de la distanță respectivele sisteme și accesa eBay pentru a face cumpărături.
S-a ajuns într-acolo încât cineva a creat o foaie de calcul pentru a urmări toate atacurile semnalate. După cum puteți vedea, multe dintre ele se referă la eBay.
Aceste scanări de porturi sunt încă intrusive și nu e ceva ce mulți utilizatori ar dori să li se întâmple atunci când vizitează un site.
eBay a fost contactat în legătură cu această scanare de porturi, dar nu au răspuns.