Пользователь "Хабра" обнаружил, что личный кабинет "Ростелекома" сканирует локальные сервисы на его компьютере. По его словам, придя на работу он обнаружил в логах системы строчки от VNC:
Connections: rejecting blacklisted connection: 127.0.0.1::22715
Кто-то с локалхоста пытался залезть на порт 5900, что похоже на поведение вируса или другой вредоносной программы. Попытки проникновения имели происходили с интервалом в десять минут. С помощью нехитрых манипуляций автору заметки на Хабре удалось выяснить, что запросы шли из личного кабинета "Ростелекома":
14 достаточно интересных портов:
"Большинство портов - это средства для удалённого управления компьютером. Выходит, далее следует ожидать попыток проникновения на эти порты снаружи. Зачем это может быть?
У меня в голове следующие варианты:
Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян
Это осознанное решение Ростелекома и попытка сделать что-то нехорошее пользователю
Это осознанное решение Ростелекома и попытка собрать данные о пользователе
При этом мой компьютер не находится в сети Ростелекома, так что данные действия выглядят весьма и весьма грязно", – отмечает пользователь.
В пресс-службе "Ростелекома" изданию TJournal пояснили, что собирают данные об активности пользователей и ищют индикаторы компрометации их устройств. Систему пришлось внедрить из-за участившихся в последнее время попыток мошенничества в отношении лицевых счетов абонентов и бонусных программ "Ростелекома".
