Na początku maja naukowcy zajmujący się cyberbezpieczeństwem odkryli otwartą bazę danych Elasticsearch, która ujawniła obszerną grupę fałszywych recenzji Amazon. Baza danych zawierała miliony bezpośrednich wiadomości między sprzedawcami Amazon i ponad 200 000 klientów, którzy chcieli udostępniać fałszywe recenzje w zamian za bezpłatne produkty. Obecnie nie wiadomo, kto jest właścicielem bazy danych, ale pokazuje praktyki niektórych sprzedawców Amazon i handlu internetowego. Odkrycie tej bazy danych Elasticsearch przez zespół ds. bezpieczeństwa cyberprzestrzeni SafetyDetectives pokazało, w jaki sposób sprzedawcy na Amazonie starali się uzyskiwać fałszywe recenzje. Sprzedawcy na Amazonie wysyłają recenzentom lub firmie pośredniczącej listę produktów, o których chcieliby uzyskać 5-gwiazdkowe recenzje. Następnie osobom wystawiającym recenzje wysyłany jest link umożliwiający zakup produktu i pozostawienie recenzji jako „zweryfikowany kupujący”. Później sprzedawca sprawdzi recenzję i zapewnia zwrot kosztów recenzentowi za pośrednictwem systemu PayPal, co bardzo utrudni śledzenie tego procederu przez Amazon.
SafetyDetectives pokazało, w jaki sposób sprzedawcy na Amazonie starali się uzyskiwać fałszywe recenzje.
Dane znalezione przez zespół ważyły około 7 GB na całkowicie otwartym i ujawnionym serwerze Elasticsearch, przy czym dane osobowe osób dostarczających fałszywe recenzje, a także winnych dostawców Amazon, pojawiały się w wiadomościach w całej bazie. Informacje o dostawcach, takie jak adresy e-mail, a także numery telefonów WhatsApp i Telegram, zostały ujawnione, podczas gdy fałszywi recenzenci mieli adresy e-mail i nazwy użytkowników, które często zawierały prawdziwe imiona i nazwiska oraz ponad 75 tys. linków do osobistych kont Amazon. Ogólnie szacuje się, że około 200 000 do 250 000 ludzi z całego świata jest dotkniętych lub zaangażowanych w ten wyciek i system oszustwa.
Co ciekawe, zespół SafetyDetectives nie był w stanie zidentyfikować właściciela serwera Elasticsearch i dlatego „nie mógł powiadomić firmy o problemie z zabezpieczeniami”. Jednak okazało się, że serwer został zabezpieczony kilka dni później, co spowodowało, że był niedostępny dla innych zainteresowanych. Poza kwestią bezpieczeństwa, jak wyjaśnia SafetyDetectives, „ktokolwiek jest właścicielem serwera, może podlegać karom wynikającym z przepisów dotyczących ochrony konsumentów, a ktokolwiek płaci za te fałszywe recenzje, może spotkać się z sankcjami za złamanie warunków korzystania z usług Amazon”. Jeśli Amazon zdobędzie te dane, gigant internetowy będzie miał prosty sposób na pozbycie się dostawców i kont prowadzących to oszustwo, aby nielegalnie zwiększyć liczbę recenzji produktów.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS