eBay scannt Win-PCs auf offene Ports

Bisschen weiter dazu gegoogelt...

Quellcode des Scripts "check.js" findet sich hier bei eBay bzw. nochmal als Anhang zu diesem Post.

Ein Blogger hat grob mal analysiert, was dieses Script macht:
blog.nem.ec

eBay is port scanning visitors to their website - and they aren't the only ones - nem.ec

Websites are scanning for open ports on your PC to help fight fraud, but this data also flows into a massive, global tracking database.
blog.nem.ec blog.nem.ec

Zudem hat The Register herausgefunden, dass offenbar eine Firma namens LexisNexis Risk Solutions dahintersteckt.

Also... wie bereits vermutet.
 

Anhänge

  • check.zip
    40,5 KB · Aufrufe: 1
Ich habe nichts dagegen meinen Daten als Ware für einen Dienst anzubieten.

WENN:
1. Jederzeit komplett transparent für mich ist welche Daten ich denen geben und was die damit machen.
2. Ich jederzeit auch ein kostenpflichtiges Angebot bekomme, bei dem ich mit Geld und nicht mit meinen Daten zahlen kann.

Irgendwas einfach zu machen, wie hier bei eBay, geht GARNICHT! Zumal ich mit meinen Gebühren diesen Dienst bezahle wenn ich was verkaufe. Und die verdienen mit Sicherheit nicht schlecht daran.

Also liebes eBay, macht eure Scans transparent und lasst den Kunden entscheiden ob er diesen zustimmt oder eben nicht. Zur Not könnt ihr euch dann auch aus der Haftung teilweise stehlen.

Sind Scans nicht strafbar?

SO GEHT ES GAR NICHT!!
 
2bit schrieb:
Beweis du mir mal lieber, dass ein eBay User explizit solchen Portscans zugestimmt hat.
Zum Vergrößern anklicken....

Datenschutzerklärung

In unserer Datenschutzerklärung haben wir alle wesentlichen Informationen über unseren Umgang mit Ihren personenbezogenen Daten und Ihre diesbezüglichen Rechte zusammengestellt. Diese Datenschutzerklärung gilt ab dem 8. April 2024. Hier können Sie die vorherige Datenschutzerklärung einsehen.
www.ebay.de www.ebay.de
 
Vermutlich soll das Script auf dem Client nach dem Vorhandensein bestimmter 'verdächtiger' Programme aus einer Blacklist suchen. Da aber JS by design nicht auf der Platte schnüffeln darf, wird halt nach dem Zustand bestimmter (für diese Programme typischer) Ports gesucht. Wie die Antwort ausgewertet wird ist Spekulatius..
Grundsätzlich wird das JavaScript auf den Anwenderrechner übertragen und dort ausgeführt. Also kann man es dort auch untersuchen.
 
@fanwander Das ist ein Link, aber keine Antwort. Die Punkte 4.1, 4.2 und 4.3 führen keine Portscans zu Remote-Programmen auf.

Das steht da nirgendwo, dass mein Rechner auf solche Programme hin untersucht wird. Laut dem von mir verlinkten Gesetz ist dieser Hinweis aber ganz genau so in deutlich verständlichen Worten erforderlich.
 
2bit schrieb:
Die Punkte 4.1, 4.2 und 4.3 führen keine Portscans zu Remote-Programmen auf.
Zum Vergrößern anklicken....
"Computer- und Verbindungsinformationen, ... , Informationen zum Datenverkehr zu und von Websites,..."
Es wird geprüft wie auf die Webseite zugegriffen wird.

Du kannst Gift draufnehmen, dass das legal abgesichert ist, was die da machen. Ebay sind nicht mehr so eine Kleinklitsche wie zoom.
 
fanwander schrieb:
"Computer- und Verbindungsinformationen, ... , Informationen zum Datenverkehr zu und von Websites,..."
Zum Vergrößern anklicken....

Nö. Reicht nicht.

(4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu belehren.

(5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.
Zum Vergrößern anklicken....


Quelle: https://dsgvo-gesetz.de/bdsg/51-bdsg/
 
kybernaut_01 schrieb:
Bisschen weiter dazu gegoogelt...

Quellcode des Scripts "check.js" findet sich hier bei eBay bzw. nochmal als Anhang zu diesem Post.

Ein Blogger hat grob mal analysiert, was dieses Script macht:
blog.nem.ec

eBay is port scanning visitors to their website - and they aren't the only ones - nem.ec

Websites are scanning for open ports on your PC to help fight fraud, but this data also flows into a massive, global tracking database.
blog.nem.ec blog.nem.ec

Zudem hat The Register herausgefunden, dass offenbar eine Firma namens LexisNexis Risk Solutions dahintersteckt.

Also... wie bereits vermutet.
Zum Vergrößern anklicken....
Danke, spannend zu lesen !


1590501622841.png



Im Chromium ohne add blocke (linux)

Im FF den ich immer Benutze mit uMatrix und uBlock origin installiert sehe ich kein check.js auch nicht die clear.png
 
Für alles die es interessiert. Port Scanning kann sehr wohl strafbar sein, wenn dahinter eine Absicht einer Straftat stehen könnte. Es handelt sich hier um um Paragraf 202c Strafgesetzbuch.
§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1.Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet von einem Moderator:
Signallauf schrieb:
Für alles die es interessiert. Port Scanning kann sehr wohl strafbar sein, wenn dahinter eine Absicht einer Straftat stehen könnte. Es handelt sich hier um um Paragraf 202c Strafgesetzbuch.
Zum Vergrößern anklicken....

streng genommen werden ja keine Daten ausgespäht oder abgefangen.
 
Hier in dem Falle sicherlich richtig. Aber wenn du Ports scannst um z.B. Schwachstellen eines Servers zu finden, dann kann das schon geahndet werden. Da gab es damals einen Riesenaufschrei in den Adminreihen als dieser Paragraf raus kam.

So ganz ohne ist das nicht was eBay da macht. Haben die mittlerweile Stellung genommen? Ich finde es toll dass solche Schweinereien immer mehr ans Licht kommen und Datenschutz mehr in das Bewusstsein der Leute rück. Viele Whitehat Hacker haben dafür lange gekämpft.
 
Zuletzt bearbeitet von einem Moderator:
Signallauf schrieb:
Port Scanning kann sehr wohl strafbar sein, wenn dahinter eine Absicht einer Straftat stehen könnte. Es handelt sich hier um um Paragraf 202c Strafgesetzbuch.
Zum Vergrößern anklicken....
Es kann halt als Vorbereitung eines Einbruchsversuchs gewertet werden. Wird aber in diesem eBay-Beispiel wohl kaum der Fall sein, denn es werden ja nur ausgewählte Ports gescannt, nicht wahllos alle. Also kann man die Absicht dahinter wohl sauber begründen... Mit Sicherheit haben die das auch über ihre Rechtsabteilung laufen lassen.
 
Signallauf schrieb:
Was Herr @fanwander hier von sich gibt ist wirklich unglaublich dummes Geschwätz. Zu mal seine Umgangsformen stark verbesserungswürdig sind.(blökende Schafe, der ahnungslos empörte Bürger nur weil man eine Frage stellt)
Zum Vergrößern anklicken....
ja, ich finds auch schade. Es ist komplexes Thema, aber das wird dem so leider nicht gerecht. Ich würde mich gerne konstruktiv und respektvoll dazu austauschen und weiter "aufschlauen", aber so macht das keinen Spaß und schafft nur Gräben.
 
Portscans selber sind ja weder gut oder böse. Das ist so als wenn ich abends am Haus vorbei gehen und schaue ob das Licht in der Wohnung brennt oder ich rufe Nummern an und merke
mir dann "hebt ab", "Nummer unbekannt" oder "es bimmelt". jemanden deswegen schon ne Straftat zu unterstellen erinnert mich an pre-crime cops. Weiss nicht ob das reicht vor Gericht.
 
maak schrieb:
Das ist so als wenn ich abends am Haus vorbei gehen und schaue ob das Licht in der Wohnung brennt oder ich rufe Nummern an ......
Zum Vergrößern anklicken....

Okay, wenn es - mehr wissen wir nicht - nur das ist: wollen wir das? Nur weil es "online", "digital" oder "modern" ist? Früher waren das die allerletzten, Blockwarts, etc. Man stellt sich vor, dieser Blockwart klingelt dann bei uns und sagt: "bei euch ist noch Licht an - wollts euch nur sagen, wg Sicherheit und so". Also, wenn das mein Nachbar ist, ists gut - aber andere?? In diesem Fall ein Händler??? Hier kommen ab und zu so Security-Zecken und wollen ihre Visitenkarte abgeben oder zu einem "Awareness Events" einladen, wg Einbrüchen. "Haben Sie gehört, bei Oma X wurde neulich eingebrochen und so nahe an der Grenze zu Frankreich, wo die ganzen Asis wohnen... und wenn ich mir ihr Haus so anschaue, diese Haustür zB. Ich wollts nur sagen..." Grässlich! Und.. Du sind ja harmlos, weil nix weiter gesammelt wird....
 
kybernaut_01 schrieb:
OK. Also doch nicht nur Windows, wie bei Golem und Heise berichtet...
Zum Vergrößern anklicken....

ja auch kurz drüber nachgedacht ich weiss halt nicht ob die Scripte bzw. der port scan auch wirklich getriggert wird. Angeblich triggert der sign-in ja "zuverlässig" unter Windows

trial and error I found that https://signin.ebay.com/ was far more reliable for triggering the port scanning.

Die payload (als die die Daten) die über das pseudo tracking pixel clear.png rausgehen, könnten im Fall Linux auch nur "leere" Daten sein ("kein port scan durchgeführt, oder kein windows pc").

ka, aber besser man hat das zeugs erst gar nicht im Browser. Wobei mir ebay wenig Sorgen macht, sehr viel weniger als dass was draussen auf anderen Seiten noch so alles unternommen wird um
den Rechner zu infizieren.
 
Signallauf schrieb:
Für alles die es interessiert. Port Scanning kann sehr wohl strafbar sein, wenn dahinter eine Absicht einer Straftat stehen könnte. Es handelt sich hier um um Paragraf 202c Strafgesetzbuch.


Was Herr @fanwander hier von sich gibt ist wirklich unglaublich dummes Geschwätz. Zu mal seine Umgangsformen stark verbesserungswürdig sind.(blökende Schafe, der ahnungslos empörte Bürger nur weil man eine Frage stellt)
Zum Vergrößern anklicken....
Wenn dahinter eine schädliche Absicht steht. Ob das bei ebay vorhanden ist, müsste danb erst geklärt werden.
 
Ich finde es auch extrem traurig für das Land in dem ich aufgewachsen bin und natürlich für mich, was die Amis damit/uns machen.
Das schlimmste an der ganzen Sache sind die Menschen die das unterstützen in dem sie Blind dasselbe wiedergeben was man den einredet, ohne mit eigenem Gehirn nachzudenken was eig gerade passiert.
 
Niki schrieb:
Ich finde es auch extrem traurig für das Land in dem ich aufgewachsen bin und natürlich für mich, was die Amis damit/uns machen.
Das schlimmste an der ganzen Sache sind die Menschen die das unterstützen in dem sie Blind dasselbe wiedergeben was man den einredet, ohne mit eigenem Gehirn nachzudenken was eig gerade passiert.
Zum Vergrößern anklicken....
Was genau ist traurig und was macht wer mit wem??
Ich steht glaub ich auf dem Schlauch...
 
Naja,
- Raketten in Deutschland lagern.
- alle großen Firmen einkaufen (für noLimit gedrucktes Geld) und die alle aussaugen.
- Facebook, ebay und Co wollen alle deine "Seele"
- ohja, da gab es doch noch die Villa kunterbunt
- ......

Auf gut Deutsch sind die Deutschen eine Schlampe, die für die Amis ihren Arsch verkauft. Und zwar gnadenlos zu ihrem Körper.

Ich bin kein großer Politiker und kein großer Redner, aber hier geht gerade in meinen augen bös die Welt unter und die meisten versuchen den anderen das irgendwie schön zu reden.

Das hat mich gestern schon so gejuckt mich zu äußern wo ich gelesen habe das ein paar Deutsche ein Buch für Deutsche Bürger auf Englisch schreiben :selfhammer: wollte nur keine aus- bzw. Schönrederei lesen.


Sorry für OT
 
HorstBlond schrieb:
Okay, wenn es - mehr wissen wir nicht - nur das ist: wollen wir das? Nur weil es "online", "digital" oder "modern" ist? Früher waren das die allerletzten, Blockwarts, etc. Man stellt sich vor, dieser Blockwart klingelt dann bei uns und sagt: "bei euch ist noch Licht an - wollts euch nur sagen, wg Sicherheit und so". Also, wenn das mein Nachbar ist, ists gut - aber andere?? In diesem Fall ein Händler??? Hier kommen ab und zu so Security-Zecken und wollen ihre Visitenkarte abgeben oder zu einem "Awareness Events" einladen, wg Einbrüchen. "Haben Sie gehört, bei Oma X wurde neulich eingebrochen und so nahe an der Grenze zu Frankreich, wo die ganzen Asis wohnen... und wenn ich mir ihr Haus so anschaue, diese Haustür zB. Ich wollts nur sagen..." Grässlich! Und.. Du sind ja harmlos, weil nix weiter gesammelt wird....
Zum Vergrößern anklicken....


Das war jetzt viel auf einmal von portscan nach Blockwart ;-)

Ich vermute mal so, dass eaby vereinfacht gesagt 2 Datenbanken hat. Eine mit sämtlichen Betrugsfällen (die gehört ebay) und eine andere mit den Portscandaten (von allen möglichen Firmen im Auftrag gegeben) die von dieser Sicherheitsfirma angeboten wird. Der Service den Ebay da eingekauft hat besteht vielleicht darin aus den Portscandaten typische Profile zu erzeugen anhand denen man sagen kann ob dein PC in eine der kategorien passt, harmlos, gefährlich, usw.

Das wäre so ne Art "racial profilng" irl, wo die Polizei in der S-Banh erstmal alle mit dunkler Hautfarbe, dann schwarzen Haaren, usw. im Verdacht hat. Aber das sind ja da hier Maschinen (Rechner) und keine Menschen mit menschnwürde usw. , deswegen bitte den Vgl jetzt nicht auf die Goldwaage legen.

Ich selber hab da echt keine abschließende Meinung und ob das harmlos ist, dazu hab ich auch nicht wirklich was gesagt (nur dass es schlimmeres gibt) :)
Ich meinte nur aus dem Portscan allein ein Straftat zu folgern dürfte vor Gericht schwierig werden. Weil du auch meintest

Port Scanning kann sehr wohl strafbar sein, wenn dahinter eine Absicht einer Straftat stehen könnte

Wie soll man vor Gericht beweisen dass hinter dem Portscan die Absicht stand den Server zu übernehmen, es aber nie dazu gekommen ist.

Also

Portscan + Absicht = Strafttat.

=

An Haus vorbei gehen + an Straftat denken = Strafttat,

So hat sich das jetzt für mich angehört.


MMn kannste technische Probleme besser mit technischen Lösungen kontern. Zb wenn die Browserengines keine Portscans mehr erlauben.
 
Niki schrieb:
Naja, ......
Zum Vergrößern anklicken....

in dieser Schärfe würde ich das nicht formulieren... Aber, da ist schon was dran.... "Weltuntergang" wäre nicht mein Wort, aber es geht in eine Richtung, in die ich nicht wollte! In the name of coolness der Lemminge und in the name of money auf Seiten der Antreiber. Es gibt nicht das eine Böse aber viel zu viel Gleichgültigkeit, vorauseilender Gehorsam (ich will dem Kollegen fanwander echt nicht zu nahe treten, wir kennen uns nicht und nur wenige hier können sich wirklich klar artikulieren, aber hier wird für mich agressiv vorauseilend Gehorsam argumentiert...) und kurzfristiges Denken... Und daran bereichern sich einige wenige, oft im Silicon Valley. Und der wirkliche Mehrwert für die Menschheit ist sehr, sehr überschaubar... (obwohl das immer anders gesagt wird... für mich ist das ganze Gerede von der grossen, major disruptive digital transformation ein grosser Bullshit und nur eine Marketing-Floskel. EIgentlich passiert gerade sehr wenig... der WW2 war disruptive, 68er auch, die Oelkrise auch, Corona auch, aber Google & Maschine Learning?? Bitte... geht mal einen Schritt zurück und schaut euch das ganze Bild an....
Schon ein alter Grieche sagte: "die Jugend von heute..."; viele meinen immer, dass man daran lernen kann, dass es nicht so schlimm ist, wie es scheint und es nur ein Problem der älter werdenden ist... Was aber nur weniige wissen/wissen wollen: Sokrates hatte sehr wohl recht!
 
maak schrieb:
Das war jetzt viel auf einmal von portscan nach Blockwart
Zum Vergrößern anklicken....
Papier ist geduldig ;-) da geht sowas :cool:

das mag vlt stimmen, das hier keine "gerichtsverwertbare" Straftat vorliegt, sicher bin ich aber nicht. Darum ging es (mir) auch nicht. Ich will das - auf diese Art und Weise - einfach nicht.
 
laut doodle wurde portscan per JS 2006 in einem paper zum 1. mal beschrieben

www.h-online.com

heise online – IT news, guides and background information | heise online

News and forums on computers, IT, science, media and politics. Price comparison of hardware and software as well as downloads at Heise Medien.
www.h-online.com www.h-online.com


So easy geht das

github.com

portscan/portscanner.js at master · aabeling/portscan

portscanner in javascript. Contribute to aabeling/portscan development by creating an account on GitHub.
github.com github.com
 
HorstBlond schrieb:
Papier ist geduldig ;-) da geht sowas :cool:

das mag vlt stimmen, das hier keine "gerichtsverwertbare" Straftat vorliegt, sicher bin ich aber nicht. Darum ging es (mir) auch nicht. Ich will das - auf diese Art und Weise - einfach nicht.
Zum Vergrößern anklicken....

Ok, verstanden. Aber wie willste das wirklich 100% umsetzen?

Mehr musste ja im Prinzip gar nicht machen für den "port scan"

img.src = 'http://' + target + ':' + port;

kann mir gut vorstellen, dass CMS tools so was in der Art auch benutzen werden um ihre eigene Seiten nach kaputten Links zu durch forsten.
 
Niki schrieb:
Naja [...]
Zum Vergrößern anklicken....
HorstBlond schrieb:
Es gibt nicht das eine Böse aber viel zu viel Gleichgültigkeit, vorauseilender Gehorsam (ich will dem Kollegen fanwander echt nicht zu nahe treten, wir kennen uns nicht und nur wenige hier können sich wirklich klar artikulieren, aber hier wird für mich agressiv vorauseilend Gehorsam argumentiert...) und kurzfristiges Denken...
Zum Vergrößern anklicken....
wäre es möglich, dass ihr hier eine Menge Themen reinbringt, die gar nichts wirklich mit dem Thread zu tun haben?

Ich denke @fanwander liegt mit seiner Einschätzung der Lage schon ganz richtig, auch wenn ich die Schärfe in seinem Auftreten nicht ganz nachvollziehen kann.

Begründungen, warum ich der Ansicht bin, dass eBay hier höchst wahrscheinlich nichts „Böses“ und auch nichts illegales macht:
  • Es werden Ports gescannt, die überwiegend diverser PC-Fernsteuerungs-Software zuzuordnen sind
  • Es handelt sich diesbezüglich um einen gezielten Scan, also spezifisch nach einer Reihe festgelegter Ports. Dies kann deshalb eigentlich kaum als Einbruchs- oder Ausspähversuch gewertet werden
  • Das Port-Scan-Script stammt von einer Firma die auf Betrugserkennung und -Bekämpfung spezialisiert ist
  • Es ist hinreichend bekannt, dass eBay mit betrügerischen Handlungen auf seiner Plattform zu kämpfen hat und die (zahlenden) Nutzer zu Recht erwarten, dass dagegen etwas unternommen wird
  • Man nimmt die Dienste einer darauf spezialisierten Firma in Anspruch, um etwas gegen Betrug / Accountübernahme durch PC-Fernsteuerungstools zu unternehmen. Dafür scannen sie Nutzer der Plattform, ob sie solche Software bei sich laufen haben, um deren Aktionen auf der Plattform in der Folge (vermutlich) genauer zu beobachten
  • eBay ist ein privates Unternehmen, welches hier erkennbar im Sinne seiner Kunden handelt, nicht etwa ein Staat, der Angela Merkels Handy überwacht
  • Die USA oder gar irgendwelche Geheimdienste haben hiermit erstmal nichts, aber auch gar nichts zu tun. Im Gegenteil: Wer solche Behauptungen in die Welt setzt, ist seinerseits in der Pflicht, Beweise und vernünftige Gründe vorzulegen. Kleiner Scherz zum Schluss: Die Erkenntnis, dass die Welt böse ist und kurz vorm Untergehen, ist als Argument (oder gar Beweis) ungenügend ;-)
 
Zuletzt bearbeitet:
Und was ist, wenn diese Daten Dritten in die Hände fallen? Dann kannste ne Liste mit 160 Millionen IP-Adressen mit potentieller Remote-Software dahinter im Darknet kaufen. Das alleine ist schon Grund genug, diesen Humbug jeder nur erdenklichen Kritik zu unterziehen.
 
Ich würde mir für die Zukunft eine allgemeine Deutsche App auf deutsch wünschen wo die komplette Verbindung nach außen auf gut deutsch aufgeklärt wird, das es auch Jeder versteht.

Z.b.
EBay möchte gerade das und das gucken oder von dir wissen. Willst du Freigabe erteilen?
Ja, ok passiert das und das.
Nein, ok passiert das und das.

Google will von dir das und das.
Freigabe, ja, nein.

Dazu noch ein Inhaltsverzeichnis wo jedes "dies" und jedes "das" auf gut deutsch für normal Bürger erklärt wird.

Und dann noch ne Spalte "interessantes zum Lesen" wo aufgeklärt wird wie man was einstellt. Z.b. wenn man neues Handy kauft. Was bedeutet da was.



Habe aber leider keine Hoffnung
 
Du musst dich einloggen oder registrieren, um hier zu antworten.


Neueste Beiträge

News

Zurück
Oben