eBay scannt Win-PCs auf offene Ports

rauschwerk

pure energy noise
Bin gestern auf den folgenden golem-Artikel gestoßen und fand dies recht seltsam, was eBay über Javascript so treibt.
Offenbar sind (bisher) Linux-Distributionen nicht betroffen, sondern Win-PCs. Ob auch macOS da durchleuchtet wird, kann ich derzeit nicht sagen.

-> https://www.golem.de/news/portscan-ebay-de-scannt-den-rechner-auf-offene-ports-2005-148690.html

Auszug:

Mit dem Javascript-Skript Check.js versucht Ebay per Websockets eine Verbindung zu 127.0.0.1, der IP-Adresse des lokalen Rechners, aufzubauen. Golem.de konnte das Verhalten mit den Entwicklertools des Browsers Firefox nachvollziehen. Beim ersten Aufruf der Webseiten Ebay.de und Ebay.com werden unter Windows folgende Ports gescannt:

RDP (Remote Desktop Protocol): 3389
VNC: 5900, 5901, 5902, 5903
Teamviewer: 5939, 5944, 6039, 6040
Anyplace Control: 5279
Anydesk: 7070
Aeroadmin: 5950
Ammyy Admin: 5931
Tripp Lite Power Alert: 63333




Auf eine Nachfrage von Golem.de, warum der Portscan durchgeführt wird, hat Ebay bisher noch nicht reagiert. Möglicherweise führt Ebay den Scan aus Sicherheitserwägungen durch und möchte damit einen Schadsoftwarebefall erkennen.
 
Kam auch bei Heise. Auch dort bisher keine Antwort von Ebay (man muss erst in den USA nachfragen).

Laut einem Nutzer-Kommentar stammt dieses Script „Check.js“ von einer kommerziellen Analysefirma und wird auch auf anderen großen Websites eingesetzt. Keine Ahnung ob das stimmt und vor allem, was der Zweck des Scans ist...
 
Stopp! Ihr rafft es nicht: Das machen die nur zu euerm Besten. Es geht um eure Sicherheit! Das ist ein Service von eBay. Blöde User, die das nicht verstehen und nur motzen. Stellt euch nicht so an, ihr Daten-Melkkühe! /Ironie

Niemand hat die Absicht, die User zu verarschen und sich auf User's Kosten zu einer globalen Datenkrake weiterzuentwickeln
 

Voodoo

|||
Wärst Du denn bereit, für die Services (Ebay, Google und was weiss ich) zu bezahlen und dafür keine Daten mehr abgeben zu müssen.......?
Daten sind Handelsware und bezahlen den Strom der ganzen Server, die wir so anquatschen.

Ohne Daten wird das Internet nicht mehr finanziert. Wünschenswert wäre natürlich, dass ich die Daten selektieren kann, die ich preisgeben will. Aber würde ich dann überhaupt noch etwas preisgeben? Ein Teufelskreis........
 
Wärst Du denn bereit, für die Services (Ebay, Google und was weiss ich) zu bezahlen und dafür keine Daten mehr abgeben zu müssen.......?
Tatsächlich: Ja! (ich tue das z.B. mit meinem Mailaccount bei mailbox.org; ich abonniere auch Zeitungen, möchte weder, dass die meine Daten als Freiwild betrachten, noch irgendwelche schrägen "Tests von Redakteuren", die mir irgendwelche Produkte unterjubeln wollen à la faz.net)

Aber ist das die wirkliche Frage? Ich bin ein Freund von Transprenz und Selbstbestimmung. Ich nehme seit längerer Zeit war, dass sich hier fundamental etwas verschiebt (s.u. "Baseline"). Warum werde ich gefragt, ob ich denn bereit wäre zu zahlen? ebay und Co. haben doch nichts weiteres als ein Angebot. Wie der Bauer die Milch hat, hat eBay eine Platform zum Verkaufen. Wenn ich dort verkaufen will, zahle ich doch schon! Beim Bauern ist das sehr transparent: der stellt hier einen Kanister hin, der sagt mir, was drin ist, ich sehe sogar, wie der arbeitet, dann stecke ich Geld rein und die Milch kommt raus. Fürs anschauen der Milch zahle ich nichts. Im Supermarkt dito. Beim Autohändler auch. Bei den Thomännern dito.

Mit diesen ganzen neuen digitalen "Services" ist aber noch was anderes im Busch. Und ich bin kein Aluhut oder Technologie-Verweigerer! Hier geht es um Individuen, die möglichst schnell zu möglichst viel Geld kommen wollen. Ich kenne diesen Zirkel und den Treiber, meist in den USA, sehr gut, habe ihn selber erlebt an einer dieser "Elite-Unis". Der einzige Antrieb dort ist: KOHLE!!!! Das war früher mal anders: das Rad wurde zum Wohle eines Einzelnen und dann schnell für alle erfunden. Selbst Batterien (Volataire zB). Bei der Glühlampe und Autos gab es eine gute Balance aus ein Unternehmen aufbauen und Dienst an der Gesellschaft. Im Silikon Valley ist das komplett pervertiert: die Story lautet "wir machen das für die Welt" aber am Ende geht es nur um Daten und Geld. Siehe die Kritik an dem, Dataisten bis hin zu denen, die die Menschen als Fehler im System sehen.
Das wäre ja okay, wenn das transparenter wäre und die Gesellschaft etwas wacher. Am Ende bin ich ein Teil dieser Gesellschaft und habe meine Interessen. Was eBay hier macht (warten wir mal ab, vlt ist es ja harmlos; ärgerlich in jedem Fall) ist ein Musterbeispiel: der Reflex ist sofort: ist okay, die Tatsache eBay nutzen zu können ist mir mehr Wert als diese Datenverschwörungstheorie und dann kommt: "ja, würdest du denn zahlen (und: siehst Du, eben nicht, also beschwer Dich nicht)". Für mich sind die von uns, die da einfach mitmachen die gleiche Mischpoke wie Impfgegner, Aluhüte, Pegidas, Corona-Eltern in Wut usw usw. einach dummes Freiwild und Feinde unserer Gesellschaft. Ich zahle gerne für eine Gegenleistung. Ich zahle auch gerne Steuern, die die Regierung, die "ich" gewählte habe (ich eben nicht, aber das akzeptiere ich gerne). Ich zahle auch für meinen Mail-Account, für das Synmag und auch für eBay. Aber ich lass mich nicht verarschen (in Sinne von: "das ist nur zu Deinem besten").

Dazu dann das ganze Thema Missbrauch: Es werden eben doch Profile erstellt, Fakten geschaffen, dei Gesellschaft "manipuliert" usw. und gerade in den USA ist dann die NSA nicht weit. Apple tut noch so, als spielten sie nicht mit, aber das glaube ich nicht wirklich. Es ist sicher keine zentrale Macht dahinter, aber der Drang nach Geld und Macht kombiniert mit der Dummheit der nassforschen Menschen wird immer mehr unangenehm.

Nochmal: ich vertrete hier keine Impfgegner, Wutbürger, Verschwörungstheorie-Sicht: Ich appeliere nur daran wach zu bleiben und sich die Baseline nicht manipulieren zu lassen.

Puh, das war jetzt aber wieder ein Rant ;-) und, nein, ich bin weder Jesus noch perfekt!
 
Zuletzt bearbeitet:

qwave

KnopfVerDreher
Wie wäre es einfach mal mit Boykott einer solchen Plattform? Ist ja kein kostenloser Service den eBay da macht. Die leben ja von Werbung und von den Gebühren.

wenn ein Lebensmittel-Supermarkt von mir immer meine Schuhgröße haben wollte, würde ich den auch nicht mehr besuchen.

Und nein, ich habe keine Deutschland- oder Payback-Karte.
 

fanwander

*****
Es wäre doch wahnsinnig nett, wenn einer vor Euch "big brother" blökenden Schafen (sic!) auch kapieren würde, über was Ihr Euch da aufregt. Der Portscan geht komplett auf Software, die benutzt werden könnte, um fremde ebay-accounts via Remotezugriff auf einen Rechner insgeheim zu nutzen. Das sind lauter Remote-Zugriffstools.

ich kann mir sehr gut vorstellen, dass eine Menge von vorgeblich "gehackten ebay accounts" garnicht gehackt sind, sondern dass es remote-Zugriffe auf fremde Rechner gibt. Dort spaziert der Zugreifer einfach zum Browser und logt sich bei ebay mit den Daten des Rechnereigentümers ein, die der Eigentümer im Passwortspeicher seines Browsers hat.
Ich kenn jetzt den Rest des Scriptings nicht, aber ich kann mir vorstellen, dass bei Auktionen die von so einer Session aus aufgemacht werden dann ein internes Alert-Flag gesetzt wird, das die Auktion als "von fraglicher Herkunft" markiert. Das ist dann kein 100%er Nachweis, aber ein Hinweis, dass eine Auktion fishy sein könnte.

RDP (Remote Desktop Protocol): 3389
VNC: 5900, 5901, 5902, 5903
Teamviewer: 5939, 5944, 6039, 6040
Anyplace Control: 5279
Anydesk: 7070
Aeroadmin: 5950
Ammyy Admin: 5931
Tripp Lite Power Alert: 63333
 
dann blök ich mal...: wenn der Supermarkt, ohne mich zu fragen, beim Eingang meine Schuhgrösse misst, abgeblich nur zu meinem besten, weil er dann viel sichere Böden verlegen kann, parallel auch noch mein Partemonnaie nach RFID Karten durchleuchtet, meine Wunderlist (R.I.P.) scanned und noch - nur für den Fall - ein API bereithält, damit irgendwelche Cambridge Analyitcas mal was testen können... dann heisst das tatsächlich Big Brother ;-)

Das blökende Schaf ist für mich immer noch der, der alles nachplappert, verteidigt und der sich keine Gedanken macht (die nicht negativ sein müssen!). Sorry.

Das ist dann kein 100%er Nachweis, aber ein Hinweis, dass eine Auktion fishy sein könnte.
Alles okay, aber warum heimlich?? Und warum nicht offen, open source, dann kann es jeder analysieren und beurteilen. Ich mach das nicht selber, sondern lese dann bei heise oder dem CCC.

P.S. Stichwort Big Brother: Ich glaube nicht an den einen Bro: eher die kollektive Dummheit, die wie die Lemminge immer weiter rennt. (ich könnt jetzt noch weiter ausholen, was in meinem beruflichen Umfeld passiert unter dem Stichwort Covid - da wird mir schlecht, wie unrefletkiert da vorgegangen wird)
 
Zuletzt bearbeitet:

2bit

|||||
Wie fändet ihr es denn, wenn der Geschäftsführer vom nächsten Supermarkt bei euch Zuhause (und allen Nachbarn) vorbei kommt und den Briefkasten, die Haustür, alle Fenster und das Auto checkt, ob diese auch abgeschlossen sind und dann auch noch netterweise über diese freundliche Aktion kein Sterbenswörtchen verliert?
 

fanwander

*****
Und warum nicht offen, open source, dann kann es jeder analysieren und beurteilen.
Sorry, aber Javascript IST opensource, weil es eine Interpretersprache ist deren Quellcode jeder (!!!) Benutzer aktuell immer im Klartext runterlädt und jederzeit einsehen kann.
Deine Aussage belegt letztlich auf welchem Diskussionslevel sich das ganze hier bewegt. Mich würde schon interessieren, was @noir dazu sagt...
 
nicht nur das eine Skript: ALLES bitte. Wie man es jetzt bei der Corona-Contact-Tracing-App versucht. Das schafft Vertrauen. Du kannst auch alle midi/audio/live-projekt-Files all meiner Hits haben. Nix gegen IP, aber so nicht!
 

fanwander

*****
Wie fändet ihr es denn, wenn der Geschäftsführer vom nächsten Supermarkt bei euch Zuhause (und allen Nachbarn) vorbei kommt und den Briefkasten, die Haustür, alle Fenster und das Auto checkt, ob diese auch abgeschlossen sind und dann auch noch netterweise über diese freundliche Aktion kein Sterbenswörtchen verliert?
Der Supermarkt bei mir ums Eck ruft über die Lautsprecher aus, wenn ein Auto in der Tiefgarage des Supermarktes unabgeschlossen steht. Das hat nix mit dem Briefkasten zu Hause zu tun.
 

fanwander

*****
nicht nur das eine Skript: ALLES bitte. Wie man es jetzt bei der Corona-Contact-Tracing-App versucht. Das schafft Vertrauen. Du kannst auch alle midi/audio/live-projekt-Files all meiner Hits haben. Nix gegen IP, aber so nicht!
Wahhh Gott, lass es Hirn regnen. Muss ich echt jetzt wieder katholisch werden?
:picard:


PS Wenn Du Dich wirklich mal aufregen willst, dann mach mal einen TCP-Dump an und mach Namensauflösung auf die IPs die bei irgendeiner Webseite (auch diesem Forum) so aufgerufen werden.. Aber nicht danach in den Aluhut beißen.
 
Zuletzt bearbeitet:
hmm, weiss nicht, was ich davon halten soll. Immerhin bin ich mit dem Auto publically unterwegs und an der Einfahrt steht was von StVO. Aber warum macht er das? Geht da so ein Security Gorilla über den Parkplatz? Wen geht das was an?? Ist doch meine Sache. UND: was macht der, der rumgeht sonst noch so? Damit verdient der noch kein Geld. UND: wem sagt er noch davon UND wer kann noch zuhören, was er sagt/sieht??
 

maak

||||||||||
Sorry, aber Javascript IST opensource, weil es eine Interpretersprache ist deren Quellcode jeder (!!!) Benutzer aktuell immer im Klartext runterlädt und jederzeit einsehen kann.
Deine Aussage belegt letztlich auf welchem Diskussionslevel sich das ganze hier bewegt. Mich würde schon interessieren, was @noir dazu sagt...
 

fanwander

*****
Es ist da, wo Du einkaufst. Bei Onlineshopping ist zu Hause nicht mehr Dein Privatraum. Das musst Du lernen in diesen modernen Zeiten. Oder einfach wieder auf den Flohmarkt oder ins Kaufhaus gehen, und den Computer auslassen.
 
Warum auf einmal diese Schärfe hier? 😕
Kann man doch alles auch in einem normalen Ton besprechen....
hast recht... Ist vielleicht schon zuviel passiert und zu viel Jüngertum und nassforsche Naivität online unterwegs... Wieso darf man nicht mehr konstruktiv kritisch sein und verteidigt noch solchces Vorgehen? Und irgendwie ist IMHO eine Umkehr vom Normalen schon weit fortgeschritten. Mir geht das Thema nahe, weils um mich und meine Gesellschaft geht. Was nahe geht wird auch mal emotional...

P.S. und sorry, @fanwander wenn ich Dich da missbrauche : so ein Statement wie "Bei Onlineshopping ist zu Hause nicht mehr Dein Privatraum. Das musst Du lernen in diesen modernen Zeiten.". Da leg ich einfach ab. Warum in Gottes Namen? Das ist für mich so wie: Männer schlagen Frauen, man, lern das doch endlich und hör auf zu flennen!" Oder "Mehr Überwachung fürht zu mehr Sicherheit" (nur damit Du verstehst, was ich denke, wenn ich das lese). Habt ihr echt keinerlei eigene Meinung oder Ansprüche mehr?? Wie tief kann man sinken (sorry, denke ich). Das Hirn denkt doch eh mit, also warum nicht nutzen?? ;-)
 
Zuletzt bearbeitet:

fanwander

*****
Kannst Du mir bitte die Verstöße und den entsprechenden Paragraphen im BDSG genau auflisten? Kannst Du mir zeigen, wo in den AGBs von Ebay der Verwendung des Scripts nicht zugestimmt hast?
Tut doch nicht so. Es ist alles so hübsch und bunt und bequem in der Hölle, und wenn Euch einer mal in Eurem Regal Euren Vertrag mit dem Teufel zeigt, dann tut Ihr ganz verwundert.
 

2bit

|||||
Kannst Du mir bitte die Verstöße und den entsprechenden Paragraphen im BDSG genau auflisten? Kannst Du mir zeigen, wo in den AGBs von Ebay der Verwendung des Scripts nicht zugestimmt hast?
Netter Trick. Die Nichtexistenz von etwas zu beweisen geht nicht. Beweis du mir mal lieber, dass ein eBay User explizit solchen Portscans zugestimmt hat. Die Einholung einer solchen spezifischen Erlaubnis ist nämlich erforderlich:

 


News

Oben