ИБ-эксперты и журналисты Bleeping Computer обнаружили, что сайт ebay.com сканирует локальные порты посетителей в поисках приложений для удаленной поддержки и удаленного доступа. Многие из этих портов связаны с такими инструментами, как Windows Remote Desktop, VNC, TeamViewer, Ammy Admin и так далее. Ebay осуществляет сканирование при помощи скрипта check.js (архивная копия), который пытается подключиться к следующим портам: Сканирование выполняется с использованием WebSockets для подключения к 127.0.0.1. Все 14 сканируемых портов и связанные с ними программы перечислены в таблице ниже. Программа Обозначение Ebay Порт Неизвестно REF 63333 VNC VNC 5900 VNC VNC 5901 VNC VNC 5902 VNC VNC 5903 Remote Desktop Protocol RDP 3389 Aeroadmin ARO 5950 Ammyy Admin AMY 5931 TeamViewer TV0 5939 TeamViewer TV1 6039 TeamViewer TV2 5944 TeamViewer TV2 6040 Anyplace Control APC 5279 AnyDesk ANY 7070 Первым на эту странность обратил внимание ИБ-специалист, известный как Nullsweep. Он отмечает, что если открыть сайт с Linux-машины, сканирование не проводится. В общем-то это логично, ведь все сканируемые программы — это средства удаленного доступа для Windows. Журналисты Bleeping Computer пишут, что впервые услышали о скрипте, сканирующем порты, от специалиста DarkNetDiaries Джека Рисайдера. Тот высказал предположение, что сканирование портов может осуществляться с целью доставки рекламы, фингерпринтинга или же для защиты от мошенничества. Скорее всего, сканирование действительно проводится для обнаружения скомпрометированных компьютеров, используемых для мошенничества на eBay. Дело в том, что еще в 2016 году злоумышленники использовали TeamViewer для захвата чужих машин, опустошения счетов PayPal и заказа товаров с eBay и Amazon. Тогда даже была создана специальная таблица для отслеживания таких атак. Теория о борьбе с мошенниками подтверждается еще одним ИБ-экспертом, Дэном Немеком, который на днях написал о странной активности eBay большой материал. Немек проследил используемый аукционом скрипт до продукта ThreatMetrix, который создан компанией LexisNexis и используется для обнаружения мошенников. И хотя сканер eBay, по сути, ищет известные и легитимные программы, в прошлом некоторые из них действительно использовались в качестве RAT в фишинговых кампаниях. Представители eBay ограничились обтекаемым комментарием по данному вопросу. Так, на вопрос журналистов Bleeping Computer о сканировании портов посетителей в компании ответили следующее: «Конфиденциальность и данные наших клиентов являются нашим главным приоритетом. Мы стремимся создать на наших сайтах и сервисах атмосферу безопасности, удобства и надежности».