Специалисты портала Null Sweep в конце мая 2020 года заметили странную сетевую активность компонентов сайта eBay. Оказалось, что с помощью специального скрипта там проводится сканирование сетевых портов ПК пользователей на наличие программ удаленного доступа. На самой площадке пояснили, что это делается для безопасности пользователей.

Эксперты издания Bleeping Computer подтвердили, что сайт eBay действительно проводит скрытое сканирование с помощью скрипта check.js, которое запускается при каждом посещении ресурса.

td_3Y=['REF:63333','VNC:5900','VNC:5901','VNC:5902','VNC:5903','RDP:3389','ARO:5950','AMY:5931','TV0:5939','TV1:6039','TV2:5944','TV2:6040','APC:5279','ANY:7070'];

Скрипт check.js, используя WebSocket для подключения к 127.0.0.1 через заданный порт, сканирует 14 портов на ПК:

• 5900: VNC;
• 5901: VNC port 2;
• 5902: VNC port 3;
• 5903: VNC port 4;
• 5279: Anyplace Control;
• 3389: Windows remote desktop / RDP (Remote Desktop Protocol);
• 5931: Ammy Admin remote desktop (Ammyy Admin);
• 5939: TeamViewer;
• 5944: TeamViewer;
• 5950: WinVNC (Aeroadmin);
• 6039: TeamViewer;
• 6040: TeamViewer;
• 63333: TrippLite power alert UPS;
• 7070: AnyDesk.

Многие из сканируемых выше сетевых портов используются популярными инструментами для удаленного управления рабочими столами пользователей, например, Windows Remote Desktop, VNC, TeamViewer, Ammyy Admin и другие.

Вдобавок оказалось, что сканирование портов скриптом check.js не происходит, если пользователь при посещении сайта eBay использует ПК на Linux.

Джек Рисайдер (Jack Rhysider), создатель Darknet Diaries, пояснил, что у процедуры сканирования портов на сайте eBay есть определенные цели. И это скорее всего делается с целью доставки рекламы, для снятия отпечатков пользовательских ПК (фингерпринтинга) или защиты от мошенничества.

Вдобавок Рисайдер пояснил, что сканирование делается в браузере, поэтому брандмауэры\файрволы пользователя не могут этот процесс заблокировать. А сам факт проведения такого сканирования можно расценивать как злонамеренное поведение со стороны сайта и может не соответствовать требованиям локальных законов пользователей.


Пользователь Nemec понял, что на eBay также шифруют результаты сканирования и передают его на свои серверы в GET-запросе к png. Он выложил на gist.github.com скрипт для расшифровки этих данных.


Издание Bleeping Computer смогло получить ответ от eBay по этой ситуации со сканированием. Официальные представители eBay воздержались от комментариев, но пояснили, что «конфиденциальность и сохранение данных клиентов остаются их первоочередной задачей, поэтому они стремятся создать на своем сайте для этого удобную и надежную систему».

Другие сайты также проводят скрытое сканирование портов пользователей. Например, эту процедуру часто проводят банковские сервисы. В 2018 году это делал сайт банка Halifax Bank. В 2019 году сканер портов был зафиксирован в личном кабинете Ростелекома. Тогда пресс-служба Ростелекома сообщила, что скрипт используется как «антифрод-система для предотвращения онлайн-мошенничества» путем анализа пользовательской сессии.

Ранее в 2016 году издание Bleeping Computer опубликовало информацию о том, что злоумышленники с помощью TeamViewer перехватывали управление над ПК пользователей и совершали большое количество мошеннических операций на eBay и Amazon. Тогда даже был даже создан специальный портал с таблицей для отслеживания таким мошеннических схем.