Пользователь «Хабрахабра» под ником force рассказал, что локальные сервисы на его компьютере сканирует личный кабинет провайдера — «Ростелекома». Там это объяснили борьбой с мошенниками.
Force написал, что случайно увидел, что «кто-то с локалхоста [компьютера пользователя] пытается проникнуть на порт 5900». Пользователь предположил, что «это вирус или еще что-то похуже», и решил найти вредоносную программу. Всего сайт сканировал по меньшей мере 14 портов.
Пользователь обнаружил, что попытки подключиться регулярно повторяются, и решил их отследить. Оказалось, их выполняли с браузера Firefox. Методом перебора он выяснил, что попытки совершались с вкладки, на которой был открыт личный кабинет «Ростелекома».
Позже force отследил адрес скрипта на сайте «Ростелекома» и сделал вывод, что код намеренно запутан, чтобы его было труднее расшифровать.
В пресс-службе «Ростелекома» изданию TJournal сообщили, что скрипт используется для предотвращения мошенничества и анализа пользовательской сессии. При анализе сессии «осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств».