亚马逊假评诈骗暴露在数据泄露中
SafetyDetectives网络安全团队未发现开放的Elasticsearch数据库,暴露有组织的假评论诈骗影响亚马逊的骗局。
服务器包含了亚马逊供应商和愿意提供假审查的亚马逊供应商和客户之间的直接信息的宝库,以换取免费产品。总共,这些记录的13,124,962名(或7 GB数据)已经在违约中暴露,可能会在不道德的活动中暗示超过20万人。
虽然尚不清楚谁拥有数据库,但是违背影响了影响在线零售业的普遍存产的内部工作。
Open Elasticsearch Server上的信息概述了亚马逊供应商为其产品提供“假审查”的常用程序。
这些亚马逊供应商送往审阅者列出的项目/产品列表,他们希望为5星级评论。提供“假审查”的人将购买产品,在收到商品后几天留下了亚马逊的五星级评论。
完成后,假审查的提供者将向供应商发送包含链接到其亚马逊配置文件的供应商的消息以及其PayPal详细信息。
一旦亚马逊供应商确认所有评论都已完成,审阅者将通过PayPal收到退款,保留他们免费购买的物品作为付款方式。
任何购买的货物的退款通过PayPal而行动,而不是直接通过亚马逊的平台。这使得五星级评论看起来合法,以免引起亚马逊主持人的怀疑。
在某些情况下,可能存在额外的付款 - 根据假设假审查的人提供的服务规模。但是,我们没有在公开的服务器中找到任何一个例子。
当无人认领的Elasticsearch Server未经任何密码保护或加密时,当未知的Elasticsearch Server打开时,会出现超过1300万条记录。提供假审查的人员的个人数据以及亚马逊供应商可以在数据库上的泄露消息中找到。
给出了潜在的假审查提供商的联系方式,以继续在这些泄漏互动发生的服务之外进行通信。
Elasticsearch上的消息还包含其他形式的直接和间接可识别的个人数据,如:
泄露的PayPal帐户详细信息和“粉丝名称”大纲电子邮件地址,以及提供假审查的人的用户名。这些细节可用于间接识别个人,而其中许多则包含全名和姓氏。
还通过邮件直接向供应商提供审阅者的Gmail地址。总共在服务器上公开了232,664个Gmail,但一些电子邮件地址已重复。
“Gmail”图仅涵盖使用谷歌作为其邮件提供商的个人。当我们在存在其他类型的电子邮件帐户的情况下,例如Outlook的情况下,这种违规的巨大性变得明显。泄露了75,000个亚马逊账户,尽管该图中包含了几种复制品。随着亚马逊供应商通过他们的联系方式损害,估计约200,000-250,000人受此违约的影响是合理的。
服务器似乎位于中国,并认为欧洲和美国的泄漏受到影响的泄漏。实际上,泄漏可能会影响来自世界各地的受影响的人。
*与供应商和审阅者之间的消息无关的记录是用中文编写的,这就是为什么我们认为服务器的所有者位于中国。
SafetyDetectives网络安全团队于3月1日发现违约,我们在接下来的几天中监控了Open Elasticsearch服务器的状态,并于3月6日2021年,无人认领的数据库得到保护。
我们无法识别Elasticsearch Server的所有者。因此,我们无法通知公司有关此安全问题的问题。尽管如此,服务器在几天后获得了安全保障,使其无法进入外方。
鉴于数据库中包含的记录和供应商的范围,服务器可能由运行骗局的Amazon供应商拥有。服务器可以由第三方所有权代表供应商达到潜在审阅者。第三方可能会在Facebook或微信组中发布产品的图片,要求审查以获得免费产品。
服务器还可以由一家大公司拥有,其中包括若干子公司,这将解释多个供应商的存在。
明确的是,无论谁拥有服务器都可能受到消费者保护法律的惩罚,而且为这些假审查支付的人可能会面临打破亚马逊的服务条款的制裁。
亚马逊供应商运行这种类型的“假审查骗局”可以避免亚马逊的评论审核团队检测。
牵连供应商也可以避免在多个平台上检测。这是在线市场正在努力包含“假审查”问题的重要原因,这在整个行业中都很广泛。
无人认领的Elasticsearch服务器中的消息突出显示的技术,这些技术是由企业覆盖其曲目的。
欺诈性企业为审阅者提供特定标准,以避免在亚马逊上检测。这些标准旨在向审查提供合法。在此Elasticsearch服务器中,供应商请审阅者在发布审查前等待几天。他们还要求大量的审查超过几个单词,甚至可能概述了应包括在审查中的某些细节。
供应商通常通过直接消息应用程序进行通信。在我们发现的ELASTICSEARCH服务器中,供应商试图隐藏具有逐个关键字搜索的类似短语的关键字。
这可能意味着用于与潜在审查者联络的平台并非为此目的而旨在,并且供应商可能试图逃避安全技术人员的检测。
我们有信心在Facebook上进行了一些互动,尽管它似乎与潜在审阅者发生在几个消息传递平台上的沟通。
数据库的所有者可能已经使用CRM系统将这些不同的通信通信渠道聚合到一个容易平台上,将数据存储在无人认领的Elasticsearch服务器上。但是,这只是一个受过教育的假设。
虽然很多人提供虚假评论可能知道他们在做什么,但我们还必须强调供应商如何宣传虚假评论是非法的。
亚马逊供应商可能已通过提供免费产品的返回审查提供的人们的目标。供应商使用“专业”语言作为合法贸易的报价,利用“测试”和“免费产品试验”等短语,当时媒体审稿人。当我们检测到的数据库中,这肯定是这种情况。
如果没有营销法,亚马逊服务条款或更广泛的影响假审查可以拥有,有些人可以毫无思想与亚马逊供应商进行假审查。
考虑到那些涉及这种违规行为的人,并且由于这种曝光可能面临的影响,我们应该注意一些这些评论者误导了自己。
Elasticsearch Server的所有者基本上致力于两个单独的违法行为。一方面,公司和个人已与误导性营销材料的生产相连。另一方面,数据违约本身就有进一步损害所涉及的人/业务。
那么,为提供假审查的人和亚马逊供应商支付这些假审查的亚马逊供应商是什么?
被发现为他们的产品购买假审查的企业或个人供应商可能面临这种类型的违法行为的各种处罚和制裁。
首先,亚马逊供应商通过购买假审查已经破坏了亚马逊的服务条款。
亚马逊可以在有罪方面放置一些制裁。供应商帐户可以永久终止,供应商可以立即效果丢失其销售权限。亚马逊将扣留待处理的所有收益 - 产品已售出,但供应商尚未收集盈利。
这些评论将从发现包含假审查的任何产品页面中删除,并且该产品将无法在未来接收评论或评级。产品甚至可以完全从网站退出。
亚马逊保留公开披露供应商名称(以及任何其他相关信息)的权利。一个突出欺诈公司的不法行为警告那些可能受到影响的人的练习,同时对所讨论的业务造成声誉损害。
亚马逊的服务条款轮廓亚马逊可以选择对涉及的业务进行法律行动。
在几个国家,支付人们进行假审查是一个违法行为,损害了消费者的权利。如果公司购买假审查的基础是在美国,它将面临联邦贸易委员会(FTC)的合法行动。使用欺骗性的营销策略可以降落美国的供应商,罚款超过1000万美元。
违规意味着作为“假审查卖家”暴露的人可能会受到合法的惩罚。个人是否被发现犯有销售评论,或者不会对他们所能面临的后果产生巨大差异。如果发现审稿人被发现是“误导的,”可能会大大减少惩罚,个人只能在手腕上收到“拍打”。
欺诈性审核人员与千篇假着审查的名称可以支付超过10,000美元的罚款,甚至可以获得监禁。这些惩罚的严重程度将取决于控制调查的司法管辖区。
亚马逊的假审查人员可能会被终止,尽管亚马逊的主要焦点是追求有罪的供应商而不是调查每个审查员。
通过数据违反这种性质引发的声誉和财务损失是有形的。在上述处罚和收费之上,如果要确定Elasticsearch数据库所有者,他们可能会面临违反数据保护法律的进一步制裁。
此类案件中涉及的所有司法管辖区都不明确,直到我们知道已泄露数据的个人的公民身份。服务器的欺诈所有者似乎在中国。严重违反数据保护法,可以将所有者与罚款降落到760万美元的罚款,或者从去年的5%的营业额的5%。
如果来自其他国家的个人受到影响,其他司法管辖区也可以进行调查。对美国公民的任何损害可能涉及到FTC,这可以提供高达1亿美元的优惠企业,而欧洲公民受到GDPR的保护。如果欧洲公民的数据被误判,罚款约为2000万欧元(或企业收入的4%),可以向数据库的所有者收取。
与任何额外罪行一起,数据违约将可怕地导致对该活动相关的企业的声誉损害。未来客户可以选择避免涉及诉讼,非法活动或数据保护实践差的企业。
可以在数据库中找到数十万人的个人信息,这使得这些个人以伤害黑客和网络犯罪分子的方式。
它目前未知黑客是否访问了Open Elasticsearch Server。如果黑客访问了服务器,则受影响审阅者和供应商的电子邮件,姓名和姓氏可用于针对骗局,网络钓鱼攻击,欺诈甚至勒索的人。
与电子邮件地址简单的东西,黑客可能会发起网络钓鱼攻击。在这里,他们将发送有针对性的电子邮件,使用个人数据直接与受害者发言并建立一个信任的元素。电子邮件将尝试说服受害者单击链接,从而将恶意文件下载到该人的计算机上。这些恶意文件为黑客提供了进一步的犯罪活动,例如欺诈行为。
黑客也可以通过令人信服购买产品或发送促进欺诈性攻击的细节,通过有针对性的电子邮件尝试诈骗。黑客可以通过参考产品审稿人进行测试来建立信任,或者他们可以使用PayPal作为他们攻击的重点。
黑客可以作为PayPal的代表构成,要求用户更新他们的密码。“一旦用户通过他们的PayPal密码到黑客,黑客将获得访问该人的PayPal帐户 - 排出资金的账户。
黑客可以用生成的密码泄漏PayPal帐户,直到他们获得访问。一旦进入PayPal帐户,就可以使用额外的个人信息,即黑客可以用来建立信任并将其焦点焦点。例如,交易历史可用于构成另一个业务的代表。
服务器包含成千上万的人和企业的信息,这些信息可能不希望向监管或调查当局提供。与征收数据相关的明显风险意味着黑客可以用勒索击败受害者。一旦黑客获得了数据,他们就可以从个人和供应商那里需要大量的金钱或信息,因为受害者不遵守释放罪名文件的威胁。
在线“假审查”误导客户,并将买家施加到购买决定,以否则可能无法制造。假评拒绝潜在买家在涉及的供应商的利益中对产品的公平和诚实的评估。买家最终可能会因产品而受到的影响,或者在他们读过的评论中感到欺骗。
这些事件不仅违反了数千个在线市场的服务条款,但他们还违反了几个国家的法律,违反了“消费者保护”。
假审查员将其服务销售给公司,以换取免费产品或以“包装”的形式,供应商可以在散装中购买误导性评论。这些捆绑包最多可包含1000美元,价格约为11,000美元。
大型在线市场无法包含该问题,并在此过程中未能确保其客户的安全性。像亚马逊这样的网站面对斗争,遏制现在普遍存在的问题,并且必须更加努力,以降低欺骗的蓬勃发展。
问题的规模和影响意味着我们应该尽我们所能识别我们在在线市场上使用在线市场,如亚马逊。发现和报告疑似假审查有助于保护自己和其他消费者。
报告此类事件可以为试图包含问题的市场提供至关重要的支持。以下是如何发现在线假审查:
极端评论持怀疑态度。 “完美”产品很少存在。如果产品有吨位稳定的审查(特别是与类似产品相比),那么您应该质疑这些评论的合法性。您还应该留意100%阳性或100%负的评论。
寻找可疑语言。假评价往往使用更少的情绪语言,并且很难阅读。假审查甚至可以像广告一样阅读,令人难以达到产品的竞争对手。
查找有关产品的通用陈述。五星五星级评论中的几个可能会突出同样的加点,或者审查通常可能缺乏差异 - 没有关于每个人的具体经历的任何东西。假审查可能包含许多通用关键字,或者多次引用品牌名称。
假审查可能更短。如果审查只有几句话,审稿人可能会尽快影响产品的星级。
从未知品牌购买时是额外的警惕。早期的初创公司经常试图提升他们的身份与虚假评论。在购买前检查其他网站上的产品,并确保他们有任何问题的合法接触细节。
评论甚至是相关的吗? “审查合并”是有罪供应商的司空见惯者,他将其他产品重新发布到自己的评论。假审查也可能包含错误信息的其他示例。确保任何反馈都对其据说审查的产品有意义。
交叉审查五星级的差点评论。不好的评论可能一致地突出假五星级评论不承认的问题。假审查甚至可以说产品的这种特性是积极的。
查看评论员的帐户。如果他们对同一供应商产品的负载留下了积极审查,他们可能是假的,如果他们留下负面评论,可以说也是如此。如果他们的账户缺乏个人信息,并且他们的购买习惯是随机的,那就是一个假审查员的另一个标志。
检查模式。否定审查可能是假五星级评论。此外,一些评论可能听起来很类似,或者假审阅者可能会在多个产品上发布类似的评论。
查看评论日期。如果产品的五星级评论已发布在产品上市,或在短时间内发布,他们可以是假的。
使用软件。有大量的良好在线工具将分析产品的评论并告诉您是否似乎是假的。使用它们!
只要您有怀疑,您可以报告假审查。大多数在线市场都有一个标志或每个评论旁边的感叹号的象征。在亚马逊上有一个“报告”按钮。点击这将带您通过推荐过程。
如果您担心您的数据,则应采取一些即时步骤来减轻风险,并尽量减少网络犯罪的影响:
确保您所在的网站是安全的。安全网站域在开始时具有“https”和/或闭合锁定符号。
请勿泄露可以轻松使用的信息(政府身份证号码和个人偏好应该保持给您自己)。
不要单击电子邮件中的链接(或在线任何地方),您无法确定的是来自良好的源。
确保您在社交媒体网站上的隐私设置仅向信任人员展示您的内容和个人信息。
教育自己的数据保护,网络犯罪,以及您可以避免网络钓鱼攻击和赎金软件的不同方式。
SafetyDetectives Research Lab是一个Pro Bono服务,旨在帮助在线社区在教育组织上教育如何保护用户数据时捍卫网络威胁。我们的Web映射项目的总体目的是帮助互联网为所有用户提供更安全的地方。
我们以前的报告带来了多种高调的漏洞和数据泄漏,包括中国社交媒体管理公司社会管理的大约200亿用户,以及泄露超过7 GB的数据的主要化妆品品牌AVON。
在过去3年中对安全性的网络安全报告进行了完整审查,请遵循安全行为网络安全团队。
