近日，網(wǎng)絡(luò)安全團(tuán)隊(duì)SafetyDetectives揭露了一場(chǎng)針對(duì)亞馬遜賣家的刷評(píng)數(shù)據(jù)庫泄露事件，涉及超過20萬人的賣家和評(píng)測(cè)員賬號(hào)信息。這一事件源于一個(gè)開放的ElasticSearch服務(wù)器，該服務(wù)器存儲(chǔ)了大量有關(guān)賣家與愿意提供虛假評(píng)論以換取免費(fèi)產(chǎn)品的消費(fèi)者之間的往來信息。

此次泄露事件涉及超過7萬條亞馬遜賬號(hào)信息，暴露了電商行業(yè)內(nèi)普遍存在的刷評(píng)現(xiàn)象。賣家通過向評(píng)測(cè)員發(fā)送產(chǎn)品清單，以獲取五星好評(píng)。評(píng)測(cè)員在完成購(gòu)買和評(píng)論后，會(huì)收到賣家的退款。為了規(guī)避亞馬遜的封號(hào)風(fēng)險(xiǎn)，雙方交易通常通過PayPal進(jìn)行，而不通過亞馬遜平臺(tái)。

泄露的內(nèi)容包括賣家的詳細(xì)聯(lián)系方式、評(píng)測(cè)員的個(gè)人數(shù)據(jù)、PayPal賬戶信息和亞馬遜賬號(hào)鏈接等。除了直接使用亞馬遜賬號(hào)的評(píng)測(cè)員外，還有一些使用Gmail等郵件服務(wù)的評(píng)測(cè)員，涉及人數(shù)廣泛。服務(wù)器的所有者可能是一個(gè)代表賣家與潛在評(píng)測(cè)員聯(lián)系的第三方機(jī)構(gòu)。SafetyDetectives推測(cè)其可能是通過在社交媒體上發(fā)布產(chǎn)品圖片以尋找合作評(píng)測(cè)員的機(jī)構(gòu)。除此之外，也有可能是擁有多個(gè)子公司的大型企業(yè)。不論所有者身份如何，他們都可能面臨消費(fèi)者保護(hù)法的制裁。賣家可能因違反亞馬遜服務(wù)條款而面臨平臺(tái)制裁。此外還面臨聲譽(yù)風(fēng)險(xiǎn)和客戶信任度的降低等后果。

懲罰的力度因不同的司法管轄區(qū)而異，其具體規(guī)定各異。亞馬遜除了重點(diǎn)審查違規(guī)求評(píng)的賣家外，一旦發(fā)現(xiàn)有不當(dāng)行為的“評(píng)測(cè)員”，其亞馬遜賬戶也可能被終止使用。

關(guān)于數(shù)據(jù)泄露的影響，它所帶來的聲譽(yù)和財(cái)務(wù)損失是切實(shí)存在的。除了可能面臨的處罰和指控，如果ElasticSearch數(shù)據(jù)庫的所有者身份被確認(rèn)，其可能因違反數(shù)據(jù)保護(hù)法而遭受進(jìn)一步的制裁。

在尚未明確數(shù)據(jù)被泄露的個(gè)人公民身份之前，涉及此類案件的所有管轄范圍尚不清楚。服務(wù)器似乎位于中國(guó)，若嚴(yán)重違反中國(guó)的數(shù)據(jù)保護(hù)法，服務(wù)器所有者可能會(huì)面臨高達(dá)760萬美元的罰款（或該公司前一年?duì)I業(yè)額的5%）。

如果其他國(guó)家的個(gè)人受到影響，其他司法管轄區(qū)也可能會(huì)展開調(diào)查。對(duì)于美國(guó)公民，任何損害可能引發(fā)聯(lián)邦貿(mào)易委員會(huì)的介入，相關(guān)企業(yè)可能面臨最高1億美元的罰款。對(duì)于歐洲公民，他們受到GDPR的保護(hù)，若數(shù)據(jù)處理不當(dāng)，數(shù)據(jù)庫所有者將面對(duì)約2 千萬歐元（或公司收入的4%）的罰款。

數(shù)據(jù)泄露以及任何額外的犯罪行為都會(huì)對(duì)相關(guān)企業(yè)造成明顯的聲譽(yù)損害。客戶更傾向于選擇不涉及訴訟、非法活動(dòng)或不良數(shù)據(jù)保護(hù)行為的企業(yè)。此次數(shù)據(jù)泄露使所有相關(guān)人員的網(wǎng)絡(luò)數(shù)據(jù)安于危險(xiǎn)之中。

目前尚不清楚是否有黑客在ElasticSearch服務(wù)器開放期間入侵。如果黑客訪問了服務(wù)器，“評(píng)測(cè)員”和亞馬遜店鋪的電子郵件地址、姓名等個(gè)人信息可能會(huì)被用于詐騙、網(wǎng)絡(luò)釣魚攻擊、欺詐甚至勒索。黑客可以利用這些信息，冒充如PayPal的工作人員，誘騙用戶更新密碼，進(jìn)而掏空受害者的賬戶。在獲得更多敏感信息后，黑客甚至可能以此勒索個(gè)人或亞馬遜賣家巨額資金。

被泄露的數(shù)據(jù)中包含了眾多賣家的不合規(guī)信息，這些是不希望被監(jiān)管或調(diào)查機(jī)構(gòu)得知的。顯然，黑客可以利用這些數(shù)據(jù)進(jìn)行敲詐——以信息為要求巨額資金或進(jìn)行信息置換。

（編者注：本文僅供參考分享，不代表風(fēng)口星跨境立場(chǎng)。）

小貼士：了解更多亞馬遜資訊，請(qǐng)點(diǎn)擊此處。

（來源：AMZ實(shí)戰(zhàn)分享）