Bericht: Ebay führt lokale Port-Scans bei Besuchern seiner Website durch

Ebay führt bei Besuchern seiner Website einen lokalen Port-Scan aus, wie Bleeping-Computer und Golem berichten. Betroffen ist nicht nur die US-Website der Handelsplattform, sondern auch Ebay.de. Die Port-Scans haben offenbar das Ziel, Verbindungen zu Fernwartungssoftware wie Windows Remote Desktop, VNC und TeamViewer aufzudecken.

Insgesamt 14 Ports untersucht die Ebay-Website, darunter Port 3389 für das Remote Desktop Protocol, Ports 5900-5903 für VNC-Anwendungen und Ports 5939, 5944, 6039 und 6040 für TeamViewer. Betroffen sind aber auch die Apps Anyplace Control, Anydesk, Aearoadmin, Ammyy Admin und Tripp Lite Power Alert.

Die Scans erfolgen über eine JavaScript-Datei namens Check.js. Ebay stellt dafür eine Verbindung zur lokalen IP-Adresse 127.0.0.1 her. Die Scans beschränken sich zudem auf Windows. Unter Linux wird nicht nach den fraglichen Ports gesucht.

Die genannten Tools erlauben es Administratoren und Support-Mitarbeitern, eine Verbindung zu einem entfernen Computer herzustellen, um diesen zu verwalten oder Probleme zu lösen. Fernwartungstools werden aber auch von Cyberkriminellen eingesetzt, um die Systeme ihrer Opfer zu kontrollieren. Ein offener Port kann also auf eine legitime Nutzung und auch auf einen kompromittierten Rechner hinweisen – ein Scan selbst liefert keine Hinweise, um zwischen beiden Szenarien zu unterscheiden.

Bleeping Computer vermutet, dass Ebay Besucher scannt, um mögliche Betrugsversuche aufzudecken. So war die Fernwartungssoftware TeamViewer vor rund vier Jahren von Hackern benutzt worden, um betrügerische Einkäufe auf eBay zu tätigen.

Inzwischen liegt auch eine Stellungnahme des Unternehmens vor: “ Der Schutz der Privatsphäre und der Daten unserer Kunden hat weiterhin oberste Priorität. Wir sind bestrebt, auf unseren Websites und Diensten ein Erlebnis zu schaffen, das sicher, geschützt und vertrauenswürdig ist“, teilte eBay auf Nachfrage von Bleeping Computer mit. Warum die Port-Scans ausgeführt werden oder wie sie helfen, die Sicherheit von Nutzern zu verbessern, ließ das Unternehmen jedoch offen.