Les escrocs révèlent accidentellement de fausses données d’examen Amazon

Un escroc opsec-analphabète a accidentellement exposé plus de 13 millions de dossiers de données via une base de données elasticsearch ouverte, relative à une escroquerie à grande échelle faux examen impliquant des fournisseurs indépendants Amazon et les utilisateurs dans un comportement contraire à l’éthique et illégal.

Les données, d’un montant total de 7 Go et se rapportent à plus de 200 000 personnes, ont été découvertes par des chercheurs travaillant pour le compte des spécialistes antivirus SafetyDetectives, qui ont trouvé le serveur le 1er mars 2021 et surveillé son état au cours des prochains jours – il a été verrouillé le 6 mars. Le serveur non sécurisé semble être physiquement situé en Chine, mais les données se rapportent à des individus en Europe et aux États-Unis.

« Nous n’avons pas été en mesure d’identifier le propriétaire du serveur ElasticSearch, a déclaré l’équipe. « Par conséquent, nous n’avons pas pu aviser l’entreprise en question de cette question de sécurité.

« Compte tenu de l’étendue des enregistrements et des fournisseurs inclus dans la base de données, il est possible que le serveur n’est pas la propriété des fournisseurs Amazon exécutant l’escroquerie. Le serveur pourrait être la propriété d’un tiers qui tend la main à des examinateurs potentiels au nom des fournisseurs. Des tiers peuvent publier une photo du produit dans un groupe Facebook ou WeChat, demandant des avis en échange de produits gratuits.

« Le serveur pourrait également être la propriété d’une grande entreprise avec plusieurs filiales, ce qui expliquerait la présence de plusieurs fournisseurs.

« Ce qui est clair, c’est que quiconque possède le serveur pourrait être soumis à des sanctions des lois sur la protection des consommateurs, et celui qui paie pour ces faux commentaires peut faire face à des sanctions pour avoir enfreint les conditions de service d’Amazon. »

Le processus d’obtention de faux commentaires sur Amazon qui a été exposé dans la fuite fonctionne comme suit. Les vendeurs envoient aux gens qui sont prêts à laisser de faux commentaires une liste de produits pour lesquels ils aimeraient un examen cinq étoiles sur Amazon. Ces personnes achètent ensuite les produits et quittent l’examen, à quel moment ils envoient un message au fournisseur contenant un lien vers leur profil Amazon et, surtout à l’escroquerie, leurs détails PayPal pour un « remboursement ». Ils gardent le produit qu’ils ont acheté.

En actionnant le processus de remboursement par le biais de PayPal, a déclaré SafetyDetectives, le processus rend l’examen semble légitime, et évite d’éveiller l’attention des modérateurs d’Amazon.

Les données relatives aux fournisseurs comprenaient les coordonnées, les adresses e-mail et les numéros de téléphone liés aux comptes WhatsApp et Telegram utilisés pour communiquer avec les examinateurs. Les données relatives aux réviseurs frauduleux comprenaient plusieurs éléments d’informations personnellement identifiables (IIP), y compris 75 000 liens vers leurs comptes et profils Amazon, des détails de compte PayPal, 232 664 adresses Gmail et des noms d’utilisateur – dont beaucoup contenaient des noms réels.

Comme l’activité va à l’encontre des conditions d’utilisation d’Amazon – et est illégale – il est peu probable qu’aucune des victimes n’ait de recours officiel. Cependant, certains d’entre eux peuvent avoir été trompés par inadvertance en prenant part à l’escroquerie, a déclaré SafetyDetectives.

« Bien que beaucoup de gens fournissant de faux commentaires savent probablement ce qu’ils font, nous devons également mettre en évidence la façon dont les vendeurs ne font pas de publicité que les faux commentaires sont illégaux », a déclaré l’équipe. « Les gens modestes peuvent avoir été ciblés par les fournisseurs d’Amazon avec l’offre de produits gratuits en échange d’un examen. Les fournisseurs utilisent un langage « professionnel » pour présenter l’offre comme un commerce légitime, en utilisant des expressions comme « test » et « essais de produits gratuits » lorsqu’ils en font le message aux examinateurs potentiels. C’est certainement le cas dans la base de données que nous avons détectée.

« Sans connaissance du droit du marketing, des conditions de service amazoniennes ou de l’impact plus large que les faux avis peuvent avoir, certaines personnes peuvent ne rien penser à collaborer avec un fournisseur Amazon pour effectuer un faux examen.

« Lorsque nous examinons ceux qui sont impliqués dans cette violation et les répercussions qu’ils pourraient avoir en raison de cette exposition, nous devons être conscients que certains de ces examinateurs ont eux-mêmes été induits en erreur. »

Les fournisseurs concernés peuvent être sanctionnés de plusieurs façons, généralement en ayant leurs comptes Amazon terminés définitivement, et en attendant les gains retenus par Amazon. Les avis eux-mêmes seront supprimés de toute page de produit qui les contiendra, et ce produit ne sera pas en mesure de recevoir des commentaires ou des évaluations à l’avenir.

Amazon conserve également le droit de nommer et de faire honte aux vendeurs impliqués et peut poursuivre en justice contre eux dans les juridictions où payer les gens pour laisser de faux avis est illégal. Aux États-Unis, par exemple, la Federal Trade Commission prévoit des amendes maximales de plus de 10 millions de dollars pour avoir utilisé des tactiques commerciales trompeuses.

Les examinateurs individuels concernés peuvent également être poursuivis légalement. Aux États-Unis, les amendes peuvent atteindre 10 000 $ et certains ont été condamnés à des peines d’emprisonnement, bien que si l’examinateur peut fournir la preuve qu’ils ont été dupés, les peines peuvent être plus légères.

Le propriétaire du serveur, s’il était identifié, ferait naturellement l’objet d’enquêtes dans le cadre de divers régimes juridiques, y compris le Règlement général sur la protection des données (GDPR).

En savoir plus sur l’enquête SafetyDetectives, y compris des conseils sur la façon de repérer les faux commentaires et de prévenir l’exposition aux données dans des infractions similaires, peut être lu sur le blog de divulgation de l’entreprise.