Ростелеком взломал компьютер абонента под предлогом борьбы с мошенниками
Использует для этого скрипт на странице личного кабинета Пользователь «Хабра» случайно обнаружил, что Ростелеком через личный кабинет сканирует локальные сервисы на компьютере мужчины.
Подозрения у пользователя под ником force появились после того, как он увидел в логе системы запись о том, что кто-то с локалхоста пытался подключиться к порту 5900. Этот порт обычно используют для удалённого доступа к компьютеру. Как оказалось, попытки подключения происходили каждые 10 минут. Мужчина насчитал 11 таких попыток.
В итоге, он выяснил, что к порту пытался подключиться браузер Firefox. Мужчина начал разбираться, какая вкладка или расширение это делают, и обнаружил, что запросы отправлялись через личный кабинет Ростелекома.
Анализ проблемы показал, что сайт провайдера сканировал как минимум 14 портов, которые используют различные сетевые протоколы, программы или вирусы. Мужчина предположил несколько причин, по которым это могло происходить. Либо личный кабинет взломали и пытались подсадить force троян, либо Ростелеком сам намеревался причинить вред, либо компания пыталась собрать данные.
В комментариях к посту выдвинули версию, что провайдер использует скрипт для отслеживания пользователей, который разработала российская компания Group-IB. В компании отказались отвечать на вопросы журналистов, заинтересовавшихся ситуацией, и посоветовали им обратиться в Ростелеком. Провайдер же ответил, что использует скрипт для предотвращения онлайн-мошенничества. Он собирает данные об активности пользователя и ищет признаки компрометации его устройств, например, открытые сетевые порты.
Подозрения у пользователя под ником force появились после того, как он увидел в логе системы запись о том, что кто-то с локалхоста пытался подключиться к порту 5900. Этот порт обычно используют для удалённого доступа к компьютеру. Как оказалось, попытки подключения происходили каждые 10 минут. Мужчина насчитал 11 таких попыток.
В итоге, он выяснил, что к порту пытался подключиться браузер Firefox. Мужчина начал разбираться, какая вкладка или расширение это делают, и обнаружил, что запросы отправлялись через личный кабинет Ростелекома.
Анализ проблемы показал, что сайт провайдера сканировал как минимум 14 портов, которые используют различные сетевые протоколы, программы или вирусы. Мужчина предположил несколько причин, по которым это могло происходить. Либо личный кабинет взломали и пытались подсадить force троян, либо Ростелеком сам намеревался причинить вред, либо компания пыталась собрать данные.
В комментариях к посту выдвинули версию, что провайдер использует скрипт для отслеживания пользователей, который разработала российская компания Group-IB. В компании отказались отвечать на вопросы журналистов, заинтересовавшихся ситуацией, и посоветовали им обратиться в Ростелеком. Провайдер же ответил, что использует скрипт для предотвращения онлайн-мошенничества. Он собирает данные об активности пользователя и ищет признаки компрометации его устройств, например, открытые сетевые порты.
Ещё новости по теме:
18:20