Ebay soll den eigenen PC mittels Portscanner scannen

Meiner Meinung nach siehst du, wie so oft, zu viel Gesetz und zu wenig Praxis.
Ist aber nicht negativ gemeint!
Allerdings erachte ich es nicht für zielführend, auf Gesetzestexten herumzureiten, wenn noch nicht einmal geklärt ist, was dieses Script überhaupt macht.
Ja, es scannt von lokal Ports von verschiedenen Remoteprogrammen.
Alles andere ist ungeklärt.
 
DKK007 schrieb:
Nur weil etwas oft gemacht wird, ist es noch lange nicht legal.

Es gibt im Cybercrime ein hohes Dunkelfeld von >90%, weil einfach zu wenig angezeigt wird.
Zum Vergrößern anklicken....

Das will ich auch nicht gesagt haben... da läuft halt ein Java Skript durch und schaut sich das System an, ob das legal oder illegal ist, können nur Anwälte bewerten. Grundsätzlich bin ich da bei dir, für mich ist schon ein tracking cookie illegal...leider ist ein "für mich" kein rechtsverbindlicher oder rechtsbindender Anspruch :nicken: und mal wieder stelle ich Fest wie schön es wäre in einer Autokratur zu leben in der ich der Chef bin :ugly:
 
Dazu muss man aber keine Portscanns machen, denn mit Portscanns möchte man schon etwas intensiver intern forschen und oft sind es dann auch Vorboten um bestimmte Sicherheitslücken aufspüren zu können.
 
DKK007 schrieb:
Ein unbefugter Portscann von außen kann durchaus schon eine strafbare Vorbereitungshandlung im Sinne des 202c StGB darstellen.
Da begibt sich so mancher Pentester oder Skriptkiddy auf dünnes Eis.

https://dejure.org/gesetze/StGB/202c.html
Zum Vergrößern anklicken....

das ja eben der "trick" .... da passiert eben aus technischer Sicht nichts von außen, dein Browser lädt die check.js und die wird dann lokal ausgeführt ;) und ich bin mir ziemlich sicher das sie damit durchkommen werden... genauso wie die skripte die schauen wie, wann und wohin du deinen Mouse Zeiger bewegst, etc.

Alles doof, alles sollte geblockt werden....aber leider ist nicht alles zwangsweise Illegal.

Wenn man das mal weiter spinnt wäre vieles illegal:

Erkennung von root
Erkennung von Jailbreak
Erkennung das keine AV Software eingesetzt wird, machen ja gerne mal die Banken
Erkennung veralteter Software auf dem System
Erkennung das das System selbst veraltet ist

usw... die Liste könnte ich noch ellenlang weiterspinnen wo Mechanismen eingesetzt werden um Lücken zu erkennen.

Im Zweifel wird ein Gericht immer sagen: es ist eine Schutzmaßnahme, der Schutz vor wirtschaftlichen Schaden, der Schaden an einer Plattform, etc. ist höher gewichtet als die Wahrung der Rechte eines einzelnen. Genauso läuft es ja auch bei der DSGVO...sonst hätte ja die Schufa, Creditreform, etc direkt den Laden schließen müssen. Hier war das "Gemeinwohl" wichtiger als das Individuelle Wohl.

*das stellt jetzt nicht meine eigene Meinung dar, sondern ist nur eine Bewertung des Sachverhaltes
 
Zuletzt bearbeitet:
Ein Trojaner passiert auch nicht von außen, ist aber trotzdem illegal.

Wird das Script eigentlich direkt vom Ebay-Server geladen, oder von einer Subdomain? Und wie heißt das genau?
 
nibi030 schrieb:
ich bin mir sicher das nicht.. das liegt ja nicht im Bereich der personenbezogenen Daten, der localhost also 127.0.0.1 ist nicht personenbezogen, 3389 als Port für RDP ist ebenfalls nicht personenbezogen...usw.

Ferner bin ich mir sicher, dass eine Armada an Anwälten das im Vorfeld geprüft hat und keinen Grund gefunden hat, warum man das nicht tun sollte...

Ein Datum ist per se auch nicht Personenbezogen, wie soll das auch gehen...ein Datum kann aber Personenbezogen sein, wenn dies mit anderen Daten direkt verknüpft ist..usw.
Zum Vergrößern anklicken....

Auf der einen Seite hast du völlig recht, die Daten müssen personenbezogen sein. Allerdings ist (bisher) gerichtlich nicht geklärt, wann ein Datensatz (ich glaube Datum in meinem Post hattest du falsch interpretiert) personenbezogen ist. Denn wie du sagst ein kalendarisches Datum an sich ist ja nicht personenbezogen im sprichwörtlichen Sinn. Ist es aber das Geburtsdatum würde es ja defintiv darunter fallen. Meines Wissens nach streiten sich die Gelehrten aber derzeit darum, ob ein einzelner Datensatz schon personenbezogen sein kann, bei eindeutigen Merkmalen (Bspw. Steuernummer) ist das ja ohnehin zweifelsfrei. Daher kann ich von hier erstmal nicht ausschließen, dass auch der Port an sich ein "personenbezogener Datensatz" ist, auch wenn das sicherlich absolut abstrakt ist.

Weiterhin würde ich aber behaupten, dass die gesammelten Daten ohnehin schon vielfältig sind und Ebay muss ja zwangsläufig die IP von Nutzern speichern (alleine schon aus umsatzsteuerlicher Sicht), wenn dann ein Port gescannt wird, ist das in Verbindung mit der IP sicherlich personenbezogen.

Wie gesagt, ich bin mir absolut nicht sicher, mache hier bei uns im Betrieb den Datenschützer (direkte Verbindung zum externen Dienstleister) und habe gerade zu Beginn der Welle viel dazu gelesen und gearbeitet, dieses Jahr ist aber alles in dem Bereich ein wenig liegen geblieben, daher kann es natürlich sein, dass die herrschende Meinung sich bei Daten und Bezug mittlerweile einig sind.

Aber der Einwand mit den Anwälten ist in meinen Augen nicht wirklich haltbar. Gibt genug Unternehmen die genau wissen, dass es falsch ist (gerade auch die BigPlayer, ala Google, Apple, Samsung, Huawei, usw.) und es trotzdem machen, schlicht eine Abschätzung von Gewinn und Verlust. CallCenter sind seit Jahren verboten, dennoch werde ich immer noch angerufen. Klar ist aber auch, dass die großen sich schon weitesgehend absichern wollen, sofern das Risiko vermeidbar ist. Dennoch gibt es immer wieder Fälle, wo bspw. Apple Gespräche "zu Qualitätszwecken" abfängt und mithört (ich will Apple jetzt nicht alleien an den Pranger stellen, vom Grundsatz unterstelle ich das allen; aber Apple hat es vor kurzem ja erwischt).
 
Das lässt sich ja nicht wirklich lesen. Alleine diese Verschleierung spricht schon für bösartige Absichten.

Ich hab den Server jetzt erstmal auf meine Blocklist in der Host-Datei gepackt.
 
BigBoymann schrieb:
Auf der einen Seite hast du völlig recht, die Daten müssen personenbezogen sein. Allerdings ist (bisher) gerichtlich nicht geklärt, wann ein Datensatz (ich glaube Datum in meinem Post hattest du falsch interpretiert) personenbezogen ist. Denn wie du sagst ein kalendarisches Datum an sich ist ja nicht personenbezogen im sprichwörtlichen Sinn. Ist es aber das Geburtsdatum würde es ja defintiv darunter fallen. Meines Wissens nach streiten sich die Gelehrten aber derzeit darum, ob ein einzelner Datensatz schon personenbezogen sein kann, bei eindeutigen Merkmalen (Bspw. Steuernummer) ist das ja ohnehin zweifelsfrei. Daher kann ich von hier erstmal nicht ausschließen, dass auch der Port an sich ein "personenbezogener Datensatz" ist, auch wenn das sicherlich absolut abstrakt ist.

Weiterhin würde ich aber behaupten, dass die gesammelten Daten ohnehin schon vielfältig sind und Ebay muss ja zwangsläufig die IP von Nutzern speichern (alleine schon aus umsatzsteuerlicher Sicht), wenn dann ein Port gescannt wird, ist das in Verbindung mit der IP sicherlich personenbezogen.

Wie gesagt, ich bin mir absolut nicht sicher, mache hier bei uns im Betrieb den Datenschützer (direkte Verbindung zum externen Dienstleister) und habe gerade zu Beginn der Welle viel dazu gelesen und gearbeitet, dieses Jahr ist aber alles in dem Bereich ein wenig liegen geblieben, daher kann es natürlich sein, dass die herrschende Meinung sich bei Daten und Bezug mittlerweile einig sind.

Aber der Einwand mit den Anwälten ist in meinen Augen nicht wirklich haltbar. Gibt genug Unternehmen die genau wissen, dass es falsch ist (gerade auch die BigPlayer, ala Google, Apple, Samsung, Huawei, usw.) und es trotzdem machen, schlicht eine Abschätzung von Gewinn und Verlust. CallCenter sind seit Jahren verboten, dennoch werde ich immer noch angerufen. Klar ist aber auch, dass die großen sich schon weitesgehend absichern wollen, sofern das Risiko vermeidbar ist. Dennoch gibt es immer wieder Fälle, wo bspw. Apple Gespräche "zu Qualitätszwecken" abfängt und mithört (ich will Apple jetzt nicht alleien an den Pranger stellen, vom Grundsatz unterstelle ich das allen; aber Apple hat es vor kurzem ja erwischt).
Zum Vergrößern anklicken....


nein ich mein Datum als Einheit der Zeit und nicht das personenbezogene Datum... und eigentlich ist die DSGVO da sehr eindeutig, kann ich aus einem Datensatz eine Identität ableiteten dann habe ich ein Problem. Schwammiger wird es wenn man aus den Daten ein Pseudonym ableiten könnte, also Sprich ich kann es eindeutig zuordnen, weiß aber "noch" nicht zu wem... -> wenn hier eine hohe Wahrscheinlichkeit besteht aus einem pseudonymisiertem Datum jetzt oder später Rückschlüsse auf eine Identität zu ziehen, dann bricht das ebenfalls die DSGVO und ich hab wieder ein Problem

Diese Probleme sehe ich bei ebay in keiner Weise (zumindest nicht in diesem Zusammenhang) ... aus dem lokal erfolgten Portscan kann man mit sehr geringer Wahrscheinlichkeit ein Pseudonym ableiten und wenn du dich einloggst dann ist das eh alles hinfällig da du bereits dem ganzen Kram deine Zustimmung gegeben hast.
 
DKK007 schrieb:
Das lässt sich ja nicht wirklich lesen. Alleine diese Verschleierung spricht schon für bösartige Absichten.

Ich hab den Server jetzt erstmal auf meine Blocklist in der Host-Datei gepackt.
Zum Vergrößern anklicken....

rofl... na es ist ja auch Java Skript und kein config file oder eine xml ^^

was hast du auf die hosts gesetzt? :what:
 
DKK007 schrieb:
Den src.ebay-us.com mit dem Script.

Man kann auch ordentlich und lesbar programmieren.
Zum Vergrößern anklicken....


ähm... das ist JS, das ist schon okay so ^^

Wen es etwas genauer interessiert, hier ein Screen von mir. Der gelbe Bereich ist das Skript und dann rennt es auch schon los, sieht man im grünen Bereich.. interessant fand ich, dass das immer wieder läuft.

2020-05-26 16_16_57-Window.jpg
 
Nach 56 Kommentaren bin ich nun doch etwas schlauer geworden, steck ja nun auch nicht so in der Materie wie viele hier die sich zum Thema geäußert haben.
Genannten Ports sind jetzt nicht offen und bei Ebay war ich schon Jahre nicht mehr.
Also findet auch kein Scan statt, bedenklich ist das immer wenn man nicht weis was damit bezweckt wird.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

cubi2k82
  • Angepinnt
Sammelthread [Support] FAQ + Bugs (deutsch)
2 3
Antworten
49
Aufrufe
5K
cubi2k82
cubi2k82
PCGH-Redaktion
News Ace Combat 8: Eigene Engine soll Wolken am Himmel simulieren
Antworten
5
Aufrufe
388
CptMetal14
CptMetal14
PCGH_Jacky
News Konkurrenz für Chrome und Edge: Samsung Internet kommt auf den PC
Antworten
14
Aufrufe
985
G4mest3r
G4mest3r
A
Werbung [ANZEIGE] Benchmarks zeigen einige Überraschungen: Was für PC-Spieler bei Forza Horizon 6 zählt
Antworten
1
Aufrufe
255
LastManStanding
LastManStanding
PCGH_Sven
News Project Helix: Xbox-Hardware soll auch in OEM-PCs kommen
Antworten
18
Aufrufe
673
N4rcotic
N
Oben Unten
Zurück