2 Punkte von GN⁺ 2025-08-21 | 1 Kommentare | Auf WhatsApp teilen
  • Die US-Visumantragswebsite versucht offenbar, die Netzwerk-Ports von Nutzern zu scannen
  • Einige Nutzer beobachteten beim Aufruf der Website unerwarteten Netzwerkverkehr
  • Über Zweck und Hintergrund dieses Port-Scan-Verhaltens gibt es Kontroversen und Sicherheitsbedenken
  • Manche vermuten, dass es sich um ein Verfahren zur Sicherheitsüberprüfung handelt
  • Die Sorge um Datenschutz und übermäßigen Netzwerkzugriff nimmt zu

Kontroverse um Port-Scans auf der US-Visumantragswebsite

Mehrere Nutzer, die die US-Visumantragswebsite aufriefen, stellten fest, dass die Website offenbar versuchte, Port-Scans im Netzwerk der Nutzer durchzuführen. Infolgedessen konnten Nutzer etwa in Logs erkennen, dass beim Zugriff auf die Website über den Browser ungewöhnlicher Netzwerkverkehr entstand.

Zentrale Fragen

  • Es fehlt eine klare Erklärung dazu, ob diese Port-Scan-Versuche ein Verifizierungsverfahren zur Stärkung der Sicherheit sind oder einem anderen Zweck dienen
  • Sicherheitsexperten halten es für möglich, dass diese Methode als Vorabprüfung eingesetzt wird, um bösartige Bots, Proxy-Server oder VPN-Nutzer herauszufiltern
  • Zugleich wächst die Debatte darüber, ob der Zugriff auf Netzwerk-Ports ohne vorherige Zustimmung auf einer öffentlichen Website, auf der sensible personenbezogene Daten eingegeben werden, gegen Datenschutzgrundsätze verstößt

Reaktionen und Sorgen in der Community

  • Allgemeine Nutzer äußern Unbehagen über einen nicht beabsichtigten Netzwerkzugriff
  • Da Port-Scans Ähnlichkeiten mit bösartigem Verhalten aufweisen, wird die Vertrauenswürdigkeit der Website infrage gestellt
  • Einige betonen, dass die Kontroverse dadurch zusätzlich verschärft wird, dass dieses Verhalten auf einer offiziellen Website der US-Regierung festgestellt wurde

Sicherheits- und Datenschutzthemen

  • Das Durchsuchen von Netzwerk-Ports ohne Berechtigung der Nutzer birgt das Risiko eines übermäßigen Eingriffs in Rechte und Befugnisse
  • Es braucht eine Diskussion über die technische Wirksamkeit dieser Methode und darüber, ob sie der Sicherheit tatsächlich hilft
  • Kritisiert werden fehlende Richtlinien und unzureichende Verfahren zur Einholung der Zustimmung der Nutzer

Fazit und Implikationen

Dieser Fall deutet darauf hin, dass Websites öffentlicher Einrichtungen bei der Einführung neuer technischer Verfahren zu Sicherheitszwecken ein Gleichgewicht zwischen Datenschutz und technischer Sicherheit finden müssen. Außerdem werden eine klare Information der Nutzer und größere Transparenz künftig zu wichtigen Aufgaben.

1 Kommentare

 
GN⁺ 2025-08-21
Hacker-News-Kommentare
  • Beim Visumantragsprozess gibt es jede Menge Betrug. Von Seiten, die einfach das Doppelte verlangen, bis hin zu Seiten, die Antragstellern vorgaukeln, ihr Antrag sei abgelehnt worden, und dann in ihrem Namen gefälschte Unterlagen erstellen. Daher versucht das Visasystem wohl zu prüfen, ob der Nutzer eine echte Person ist oder ein Betrüger, der Relay-Server oder C2-Kanäle nutzt
    • Für eine wirklich schreckliche Website ist das ein ziemlich cleverer Abwehransatz. Meine Partnerin ist türkische Staatsbürgerin und hat kürzlich ein Visum beantragt; nach über 30 Minuten sorgfältiger Eingabe lief die Sitzung ab und alles war weg. Wenn man kein Konto erstellt oder die aktuelle Antrags-ID nicht notiert hat, ist man verloren. Dabei wurde man auch auf verdächtig wirkende Seiten ohne .gov umgeleitet; zuerst dachte ich, es sei Betrug, aber das war es tatsächlich nicht. Man versteht, warum kostenpflichtige Dienste entstehen, die diesen Albtraumprozess wenigstens etwas erleichtern. Die Bearbeitung der Unterlagen läuft meist über VFS Global, aber auch dieses Unternehmen hat viele Probleme und hilft in der Praxis kaum, sondern fungiert nur formal als Vermittler. Die EU hat kürzlich das Verfahren für Schengen-Visaanträge türkischer Staatsbürger vereinfacht, weil die offiziellen Visa-Dienstleister selbst betrogen haben, indem sie „gute Zeitfenster“ für Termine auf dem Schwarzmarkt verkauften. Sowohl in den USA als auch in der EU gehen wegen langer Wartezeiten häufig wertvolle Chancen wie Stipendien verloren. Dazu kommen kleinere, aber komplexe Probleme wie Zeichentransformation oder Encoding. Wenn also ein tatsächlich hilfreicher KI-Agent auftaucht, könnte es in diesem Markt eine Chance geben
    • Beim indischen Visasystem ist es ähnlich. Die offizielle .gov.in-Seite ist schwer zu finden, und das Visum ist einfach und kostet etwa 10 Dollar. Betrugsseiten, die nur gutes SEO haben, verkaufen genau dasselbe für 80 Dollar, leiten die eigentliche Antragstellung nur an die offizielle Seite weiter und streichen die Differenz ein. Es wäre gut, wenn die indische Regierung solche Betrüger blockieren würde, aber offenbar hat das derzeit keine Priorität
    • Ich kenne mich mit Netzwerken nicht aus und frage mich, wie man per Port-Scan erkennen kann, dass jemand ein Betrüger ist
    • Ich kann mir schwer vorstellen, dass das praktisch funktioniert. Wenn ein solcher „Scan“ im clientseitigen JavaScript läuft, scheint es mir nicht so, als könnte man über einen Proxy etwas über den Proxy erkennen, nur weil Dateien darüber übertragen werden
  • Diese Funktion stammt offenbar aus einem F5-Skript; F5 ist ein Unternehmen, das Anti-Bot-Sicherheitslösungen verkauft. (Ein obfuskiertes Skript wird unter einem Pfad wie /TSPD geladen, was ein F5-spezifisches Merkmal ist)
    https://www.f5.com/
    • TS scheint für TrafficShield zu stehen, das F5 früher übernommen hat, und PD wahrscheinlich für Proactive Defense
  • Ich habe erst kürzlich erfahren, dass uBlock Origin eine Standardliste namens "Block Outsider Intrusion into LAN" hat. Wirklich nützliche Information
    • Als ich mir das github-Feature-Request angesehen habe, fragte ich mich, warum so etwas überhaupt nötig ist. Ich verstehe nicht wirklich, warum der Browser überhaupt Zugriff auf das lokale Netzwerk bietet oder bieten sollte. Ich habe bei Verbindungen zu Dingen, die mit Sockets wie mDNS-Traffic zusammenhängen, schon einmal ähnliche Anfragen gesehen, daher kam mir die Möglichkeit in den Sinn
      https://github.com/uBlockOrigin/uAssets/issues/4318
    • Dass so ein Zugriff überhaupt erlaubt ist, ist erschreckend. Ich frage mich, wie man überhaupt auf die Idee kommen konnte, dass jede besuchte Website auf mein lokales Netzwerk zugreifen darf
    • Bei uBlock Origin fallen JS-Funktionen nach und nach weg; ich frage mich, ob diese Funktion auch in der Lite-Version verfügbar ist
    • Nachdem ich diese Option aktiviert habe, ist mein Sicherheitsniveau deutlich gestiegen. Danke an alle
    • Ich wusste auch nicht, dass es diese Funktion gibt, aber auf meinem Laptop und in mobilen Browsern war sie bereits aktiviert
  • Ich verstehe nicht, wie Browser so etwas zulassen und warum dafür nicht wie beim Mikrofonzugriff eine Zustimmung des Nutzers verlangt wird. Allein die Vorstellung, dass beliebige Websites in meinem LAN Port-Scans durchführen können, ist viel zu riskant. Statt das als „Feature“ zu behandeln, sollte man es nicht eher als Sicherheitslücke ansehen?
    • In Chrome ist so ein Zugriff nicht erlaubt. Damit Dienste im lokalen Netzwerk von externen Websites erreichbar sind, ist ein Opt-in nötig(
      https://github.com/WICG/private-network-access
      ), und derzeit wird das auf nutzerbasierte Zustimmung umgestellt(
      https://github.com/WICG/local-network-access
      ). Es gibt Streit darüber, ob PNA tatsächlich ausgerollt wurde, aber ich habe das vor Jahren auf stabilem Chrome selbst erlebt, daher kenne ich den genauen aktuellen Stand nicht. Firefox unterstützt solchen Zugriff nicht. Ich vermute, wegen fehlender Entwicklungsressourcen
  • Ich nutze uMatrix; dort werden standardmäßig alle Verbindungen außer zur angeforderten Website und zur übergeordneten Domain blockiert. Wenn man zum Beispiel mail.yahoo.com besucht, muss man Dinge wie yimg.com manuell freigeben, daher funktionieren solche Port-Scans/Profiling nicht. Anfangs war das sehr unbequem, aber nach ein paar Monaten, in denen ich die Whitelist erweitert habe, umfasst sie 90 % der von mir besuchten Websites. Auf meinem System versucht ceac.state.gov/genniv/, Verbindungen zu captcha.com, Google Analytics, Tag Manager, 127.0.0.1 und "burp" herzustellen (ein lokaler Hostname, den es in meinem Netzwerk nicht gibt). Interessanterweise sind die Versuche zu localhost oder burp in der Browser-Konsole kaum zu sehen. Wenn ich 127.0.0.1 freigebe und dann mit tcpdump nachsehe, entdecke ich Traffic, der sich mit Port 8888 verbinden will (dieser Port ist nicht offen)
    • Ich frage mich, ob uMatrix Facebook-Tracking-Pixel oder den neueren Ersatz Conversions API Gateway ebenfalls blockiert. Conversions API Gateway wird als Container unter einer eigenen Domain gehostet, auch unter der Hauptdomain, und übermittelt Nutzerdaten serverseitig an Facebook. Man muss nur etwas JS einfügen, dann wird alles übertragen
    • uMatrix ist inzwischen archiviert (Ende des Supports), und heute wird empfohlen, stattdessen uBlockOrigin mit aktivierten erweiterten Einstellungen zu nutzen (diese Struktur übernimmt die Funktionen von uMatrix). Wenn man noch aggressiver blockieren will, empfiehlt sich Hard Mode plus Hotkeys zum Umschalten in einen entspannteren Blocking-Modus. Filterlisten sollte man ebenfalls unbedingt nutzen, insbesondere yokoffing/filterlists sowie regionale/sprachspezifische Listen
      https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
    • Es scheint, als wollten sie prüfen, ob Burp Suite mit der Web-App verbunden ist
    • Ich frage mich, wie Anfragen an 127.0.0.1 im Netzwerk-Tab verborgen werden
    • burp ist tatsächlich Burp Suite, wie auch hier erwähnt wird
      https://portswigger.net/burp/documentation/desktop/tools/proxy
      Offenbar wollen sie die Analyse der Website erschweren
  • Manche Erweiterungen verlangen die Berechtigung „Auf Daten aller Websites zugreifen“. Wenn es sich nicht um ein bekanntes Unternehmen oder einen vertrauenswürdigen Entwickler handelt, kann ich nicht verstehen, warum man solche Rechte vergeben sollte. Insbesondere die Erweiterung "Hacks and Hops" verwendet die nicht existente Domain
    https://g666gle.me/
    als Homepage. So eine Erweiterung würde ich niemals installieren, egal wie attraktiv sie wirkt
    • Dieses widersprüchliche Phänomen ist in Foren wie HN fast allgegenwärtig. Wer so eine Erweiterung installiert, ist doch nicht ganz bei Trost. Viele Verbraucher sind so besessen von der Illusion, man könne sich „Privatsphäre“ einfach installieren, dass sie stattdessen getarnte VPN-Rootkits oder irgendwelche zufälligen Erweiterungen herunterladen. Wenn man eine betrügerische Erweiterung installiert hat, besteht die minimalste Maßnahme praktisch darin, den PC anzuzünden, mit dem Auto darüberzufahren, alle Konten neu anzulegen und Passwörter nur noch auf einem komplett neuen Gerät neu zu setzen
  • Solche Port-Scans, Device-Fingerprinting und Anti-Anonymity-SaaS finden auf vielen Websites statt. Ebay und Facebook machen das ebenfalls. In diesem Fall ist der primäre Zweck aber wohl, Ad-Blocking selbst zu blockieren. Dabei kommen ein 1 MB großes obfuskiertes Fingerprinting, Port-Scanning und sogar WebGL zum Einsatz. Auffällig ist auch der Versuch, Burp-Suite-Pfade zu finden
    • Ich frage mich, wie ich mein Netzwerk gegen solche Angriffe härten kann
    • Ich habe genau dieselbe Port-Scan-Methode auch auf einer Website zur Registrierung einer neuen Karte erlebt
  • Dieser „Port-Scan“ war hier nur der Versuch einer lokalen Verbindung zu 127.0.0.1:8888. Wofür genau das gedacht ist, weiß ich nicht, aber auf Regierungswebsites wird diese Methode oft verwendet, um mit nativer Software für elektronische Dokumentsignaturen zu kommunizieren. Ich frage mich, ob auch Verbindungsversuche zu anderen IPs stattfinden
    • Das kann auch an Kartenlesern, Debugging-Servern oder schlicht an einem Fehler des Entwicklers liegen. Ich habe schon erlebt, dass aus der Entwicklungsumgebung fest eingebrannte URLs mit localhost statt einem externen Host in die Produktion gelangt sind. Vielleicht verwenden sie Port 8888 für einen lokalen Entwicklungsserver; so überraschend wäre das nicht
    • Das ist höchstwahrscheinlich ein Verbindungsversuch zu einem Webserver auf dem Gerät des Nutzers (lokal), um Daten zu sammeln oder Tracking zu betreiben. Früher wurde bekannt, dass Facebook/Meta auf Android ähnlich vorgegangen ist (Tracking über einen Webserver via Messenger/Instagram). Siehe unten
      https://news.ycombinator.com/item?id=44169115
      https://news.ycombinator.com/item?id=44175940
  • In so einer Situation kann es sogar naheliegend sein, dass eine Website versucht, lokale Ports von Kartenlesern oder ähnlichen Geräten anzusprechen. In einigen oder den meisten EU-Ländern greift man für Authentifizierung und Verwaltungsdienste per Chip auf dem Personalausweis oder der Fahrzeugzulassung zu. Früher wurde dabei nur Java + Internet Explorer unterstützt, aber seit IE eingestellt wurde und auf Chromium umgestellt wurde, weiß ich nicht mehr genau, wie das heute läuft, weil ich es seitdem nicht mehr genutzt habe
    • Heute muss man einen lokalen Dienst installieren, der zwischen Browser und Smartcard-Treiber vermittelt. Dieser Bridge-Service übernimmt die Rolle, die früher Java-Applets hatten. Der kartenspezifische Treiber und der Bridge-Service werden zusammen installiert
    • Einmal musste ich stattdessen mit einer iPhone-/Android-App den NFC-Chip im Reisepass auslesen. Das scheint das moderne Ersatzmodell für IE/Java zu sein
  • Es ist mir fast peinlich, dass ich diese Praxis nicht kannte. Ich frage mich, ob es neben Fingerprinting noch weitere Missbrauchsmöglichkeiten gibt
    • Tatsächlich hat Facebook dieses Verfahren schon einmal auf Android genutzt. Die Android-App von Meta startet einen Server auf localhost und tauscht Tracking-Informationen, die durch Browserschutz blockiert würden, über diesen lokalen Server aus. Im Grunde ist das zwar Fingerprinting, aber in seiner extremsten Form
      https://news.ycombinator.com/item?id=44169115
    • Es könnte Router mit verwundbaren URLs geben. Wenn man nach „router authentication bypass“ sucht, findet man Beispiele
    • In der macOS-Safari-Konsole wird beim Besuch einer Website so etwas
      https://files.catbox.moe/g1bejn.png
      beobachtet. Ich frage mich, welcher Dienst konkret Port 8888 verwendet
    • Hauptsächlich wird das für Tracking verwendet, aber wenn ein Nutzer sensible Dienste auf localhost betreibt, könnte es auch zum Datenabfluss missbraucht werden
      https://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe