Des escrocs révèlent accidentellement de fausses données d’évaluation d’Amazon
5 min read
Un escroc incompétent en matière d’opsec a accidentellement exposé plus de 13 millions d’enregistrements de données par le biais d’un site Web ouvert. ElasticSearch relative à une escroquerie à grande échelle de faux avis impliquant des vendeurs et des utilisateurs indépendants d’Amazon dans un comportement contraire à l’éthique et illégal.
Les données, qui totalisent 7 Go et concernent plus de 200 000 personnes, ont été découvertes par des chercheurs travaillant pour le compte de spécialistes de l’antivirus. SafetyDetectivesqui ont trouvé le serveur le 1er mars 2021 et ont surveillé son état au cours des jours suivants – il a été verrouillé le 6 mars. Le serveur non sécurisé semble être physiquement situé en Chine, mais les données concernent des personnes en Europe et aux États-Unis.
“Nous n’avons pas été en mesure d’identifier le propriétaire du serveur ElasticSearch”, a déclaré l’équipe. “Par conséquent, nous n’avons pas pu notifier l’entreprise en question concernant ce problème de sécurité.
“Compte tenu de l’étendue des enregistrements et des fournisseurs inclus dans la base de données, il est possible que le serveur ne soit pas la propriété des fournisseurs Amazon qui exécutent l’escroquerie. Le serveur pourrait appartenir à une tierce partie qui contacte des évaluateurs potentiels au nom des vendeurs. Les tiers peuvent publier une photo du produit dans un groupe Facebook ou WeChat, en demandant des évaluations en échange de produits gratuits.
” Le serveur pourrait également être détenu par une grande entreprise possédant plusieurs filiales, ce qui expliquerait la présence de plusieurs vendeurs.
“Ce qui est clair, c’est que le propriétaire du serveur pourrait être soumis à des sanctions en vertu des lois sur la protection des consommateurs, et que celui qui paie pour ces faux avis pourrait être sanctionné pour avoir enfreint les conditions de service d’Amazon.”
Le processus d’obtention de faux avis sur Amazon qui a été exposé dans l’affaire de la fuite fonctionne comme suit. Les vendeurs envoient à des personnes prêtes à laisser de faux avis une liste de produits pour lesquels ils souhaitent obtenir un avis cinq étoiles sur Amazon. Ces personnes achètent ensuite les produits et laissent un avis, après quoi elles envoient au vendeur un message contenant un lien vers leur profil Amazon et, élément crucial de l’escroquerie, leurs coordonnées PayPal pour un “remboursement”. Ils conservent le produit qu’ils ont acheté.
Selon SafetyDetectives, en effectuant le remboursement via PayPal, le processus fait paraître l’évaluation légitime et évite d’attirer l’attention des modérateurs d’Amazon.
Les données relatives aux vendeurs comprenaient les coordonnées, les adresses e-mail et les numéros de téléphone liés aux comptes WhatsApp et Telegram utilisés pour communiquer avec les évaluateurs. Les données relatives aux évaluateurs frauduleux comprenaient de nombreux éléments d’informations personnelles identifiables (IPI), notamment 75 000 liens vers leurs comptes et profils Amazon, des détails de comptes PayPal, 232 664 adresses Gmail et des noms d’utilisateur – dont beaucoup contenaient des noms réels.
Étant donné que cette activité est contraire aux conditions d’utilisation d’Amazon – et qu’elle est illégale – il est peu probable que les victimes aient une quelconque forme de recours officiel. Cependant, certaines d’entre elles peuvent avoir été trompées par inadvertance en prenant part à l’arnaque, a déclaré SafetyDetectives.
“Bien que beaucoup de personnes fournissant de faux avis sachent probablement ce qu’elles font, nous devons également souligner que les vendeurs ne font pas de publicité pour dire que les faux avis sont illégaux”, a déclaré l’équipe. “Des personnes sans prétention ont pu être ciblées par des vendeurs Amazon qui leur ont proposé des produits gratuits en échange d’un avis. Les vendeurs utilisent un langage “professionnel” pour présenter l’offre comme un commerce légitime, en utilisant des expressions telles que “tests” et “essais gratuits de produits” lorsqu’ils envoient des messages à des évaluateurs potentiels. C’est certainement le cas dans la base de données que nous avons détectée.
“Sans connaissance de la loi sur le marketing, des conditions de service d’Amazon ou de l’impact plus large que peuvent avoir les faux avis, certaines personnes peuvent ne pas penser à collaborer avec un vendeur Amazon pour réaliser un faux avis.
“Lorsque l’on considère ceux qui sont impliqués dans cette violation, et les impacts auxquels ils pourraient faire face en raison de cette exposition, nous devrions être conscients que certains de ces évaluateurs ont été trompés eux-mêmes.”
Les vendeurs impliqués peuvent être sanctionnés de plusieurs manières, généralement par la fermeture définitive de leur compte Amazon et la retenue par Amazon des revenus en attente. Les évaluations elles-mêmes seront supprimées de toute page de produit qui les contient, et ce produit ne pourra plus recevoir d’évaluations ou de notes à l’avenir.
Amazon se réserve également le droit de nommer et de dénoncer les vendeurs impliqués et peut engager des poursuites judiciaires à leur encontre dans les juridictions où il est illégal de payer des personnes pour qu’elles laissent de faux avis. Aux États-Unis, par exemple, la Commission fédérale du commerce prévoit des amendes maximales de plus de 10 millions de dollars pour l’utilisation de tactiques commerciales trompeuses.
Les évaluateurs individuels impliqués peuvent également être poursuivis en justice. Aux États-Unis, les amendes peuvent atteindre 10 000 dollars et certains ont été condamnés à des peines de prison, bien que si le critique peut prouver qu’il a été trompé, les peines peuvent être plus légères.
Le propriétaire du serveur, s’il est identifié, devrait naturellement faire l’objet d’enquêtes en vertu de divers régimes juridiques, notamment le règlement général sur la protection des données (RGPD).
Plus d’informations sur l’enquête de SafetyDetectives, y compris des conseils sur la façon de repérer les faux avis et de prévenir l’exposition des données dans des violations similaires, peut être lu sur le blog de divulgation de l’entreprise..
