Hace unos días, saltó a noticia de que eBay.com estaba escaneando los puertos de los ordenadores de los visitantes que accedían a su sitio web.
Este escaneo de puertos era realizado por un script de protección contra fraude llamado ThreatMetrix, que se usa para detectar equipos que potencialmente puedan haber sido comprometidos para realizar compras fraudulentas.
Una característica de este sistema de protección es que, cuando un usuario se conecta, utiliza WebSockets para escanear sin permiso 14 puertos TCP diferentes en el ordenador del visitante.

Los puertos que analiza corresponden a programas de acceso remoto que se utilizan normalmente para fines legítimos, pero que también pueden ser utilizados para tomar control de un ordenador de forma remota. Esta es la lista de puertos:

Programa
Puerto

Desconocido
63333

VNC
5900

VNC
5901

VNC
5902

VNC
5903

Remote Desktop Protocol
3389

Aeroadmin
5950

Ammyy Admin
5931

TeamViewer
5939

TeamViewer
6039

TeamViewer
5944

TeamViewer
6040

Anyplace Control
5279

AnyDesk
7070

Aunque es habitual que los sitios de comercio electrónico utilicen métodos para detectar el fraude, muchos usuarios creen que es demasiado intrusivo escanear el ordenador de un visitante en busca de programas sin permiso.
Para analizar qué otros sitios web pueden estar usando este script, BleepingComputer se puso en contacto con DomainTools, una compañía de seguridad especializada en amenazas web y DNS.
Cuando los sitios web cargan los scripts antifraude de ThreatMetrix, cargan el script a través de un nombre de host llamado online-metrix.net. Por ejemplo, el sitio de eBay carga el script de ThreatMetrix desde src.ebay-us.com, un registro DNS CNAME para h-ebay.online-metrix.net.
.IRPP_kangoo , .IRPP_kangoo .postImageUrl , .IRPP_kangoo .imgUrl , …