據(jù)Safety Detectives網(wǎng)絡(luò)安全團隊調(diào)查，他們發(fā)現(xiàn)了一個開放的ElasticSearch服務(wù)器，該服務(wù)器揭露了一個有組織有預(yù)謀的虛假評論騙局。在這個數(shù)據(jù)庫中，保存了亞馬遜賣家與愿意提供虛假評論以換取免費產(chǎn)品的消費者之間的往來信息，總計達到驚人的13,124,962條數(shù)據(jù)包，重量達7GB。據(jù)不完全統(tǒng)計，此次事件中涉及的買賣雙方人數(shù)可能已經(jīng)超過了20萬人。

該服務(wù)器的發(fā)現(xiàn)，暴露了電商行業(yè)中一種不合規(guī)卻普遍存在的行業(yè)內(nèi)幕。根據(jù)服務(wù)器內(nèi)曝光的數(shù)據(jù)，亞馬遜賣家會向“評測員”發(fā)送產(chǎn)品清單，希望得到五星評論。評測人員隨后會在賣家店鋪中購買產(chǎn)品，并在收到商品后留評。為了降低店鋪被亞馬遜封號的風(fēng)險，雙方交易都是通過PayPal等渠道進行，避免使用亞馬遜平臺。

這次數(shù)據(jù)泄露的具體內(nèi)容包括賣家的相關(guān)信息、評測員的個人數(shù)據(jù)以及亞馬遜賬號信息等。其中，賣家的相關(guān)信息包括電子郵件地址、WhatsApp和Telegram電話號碼等聯(lián)系方式。而該ElasticSearch服務(wù)器上還儲存了大量可直接或間接識別的“評測員”個人數(shù)據(jù)，如PayPal賬戶詳情、電子郵件地址、“花名”（通常包含名字及姓氏）以及跳轉(zhuǎn)到亞馬遜賬戶的鏈接等。

除此之外，該服務(wù)器內(nèi)還儲存有大量Gmail地址，涉及使用谷歌郵件的評測用戶。雖然有一些郵件地址是重復(fù)的，但仍然覆蓋了廣泛的賣家和“評測員”群體。該服務(wù)器還有75,000個亞馬遜賬戶的相關(guān)信息。有理由估計，此次服務(wù)器被曝光，所涉及的相關(guān)人員大約在20萬至25萬人之間。該服務(wù)器地址疑似位于中國，但實際影響范圍遠不止于此。

SafetyDetectives的網(wǎng)絡(luò)安全團隊在2021年3月1日發(fā)現(xiàn)了這一漏洞，并在接下來的幾天里對該ElasticSearch服務(wù)器的狀態(tài)進行了監(jiān)測。在3月6日，該服務(wù)器的數(shù)據(jù)庫被上鎖，SafetyDetectives無法再對其進行訪問。鑒于數(shù)據(jù)庫中所儲存的相關(guān)記錄和賣家屬性范圍，該服務(wù)器所有者可能是代表賣家與潛在“評測員”聯(lián)系的第三方機構(gòu)。

這次刷評行為在一定程度上能夠躲避平臺的評論審核團隊的查處。賣家用技術(shù)手段“掩蓋其蹤跡”，以讓刷評符合平臺規(guī)定。例如，他們會要求“評測員”在發(fā)布評論前等待幾天，甚至還會對評論的字數(shù)和內(nèi)容提出具體要求。相關(guān)亞馬遜賣家還會使用與原單詞類似的短語隱藏關(guān)鍵詞，以繞過平臺審核。

雖然一些消費者可能知道自己在做什么，但很多賣家并未向“評測員”明確告知虛假評論是違規(guī)的。他們使用“專業(yè)”的話術(shù)將刷評包裝得合規(guī)化，如使用“產(chǎn)品測試”和“產(chǎn)品免費試用”等說法。如果不了解相關(guān)法規(guī)和平臺規(guī)定，一些消費者可能會誤以為與亞馬遜賣家合作進行虛假評論并無大礙。

對于這次數(shù)據(jù)泄露事件的后果，該ElasticSearch服務(wù)器的所有者可能面臨兩方面的制裁：一是與制作非法營銷材料有關(guān)的問題；二是數(shù)據(jù)泄露本身對相關(guān)人員/企業(yè)將帶來的損失。對于涉及的亞馬遜賣家和“評測員”，他們都可能面臨亞馬遜或相關(guān)法律機構(gòu)的處罰。提醒所有相關(guān)方應(yīng)嚴格遵守電商平臺的規(guī)則和法律法規(guī)，避免參與任何形式的虛假評論和違規(guī)營銷活動。司法裁量的多元性

不同司法管轄區(qū)對于懲罰的力度有著各自的規(guī)定。這就像每座山的風(fēng)景各異，每條法律的尺度也因地域而異。

除了亞馬遜對違規(guī)求評賣家的嚴格審查外，一旦發(fā)現(xiàn)“評測員”的亞馬遜賬戶涉及違規(guī)，其賬戶使用也將面臨終止的風(fēng)險。這一現(xiàn)象體現(xiàn)了平臺的嚴厲監(jiān)管態(tài)度。

數(shù)據(jù)泄露的影響嚴重性

此類數(shù)據(jù)泄露的后果不僅僅是表面上的損失，更關(guān)乎企業(yè)的聲譽和財務(wù)的雙重打擊。若ElasticSearch數(shù)據(jù)庫所有者被確認涉及違規(guī)，除了面臨前述的處罰和指控外，還可能因違反數(shù)據(jù)保護法而遭受進一步的制裁。

目前尚不明確涉及數(shù)據(jù)泄露的個人公民身份所涉及的司法管轄范圍。服務(wù)器的擁有者似乎隱藏在中國。若違反了中國的數(shù)據(jù)保護法，并造成嚴重后果，服務(wù)器所有者將面臨高達760萬美元的罰款或公司前一年營業(yè)額的5%的重罰。

這一數(shù)據(jù)泄露事件對于所有涉及的國家和地區(qū)都是一大挑戰(zhàn)。若其他國家的個人受到影響，相應(yīng)國家的司法機構(gòu)也將介入調(diào)查。特別是對于美國公民的損害，可能會牽涉到聯(lián)邦貿(mào)易委員會的介入，企業(yè)甚至可能面臨高達1億美元的罰款。而歐洲公民則受到GDPR的嚴格保護，任何數(shù)據(jù)處理不當都將面臨高達2000萬歐元的罰款或公司年收入的4%。

對于企業(yè)而言，數(shù)據(jù)泄露所帶來的聲譽損害是顯而易見的。客戶在選擇企業(yè)時，會傾向于那些沒有涉及訴訟、非法活動或不良數(shù)據(jù)保護行為的企業(yè)。數(shù)據(jù)泄露事件無疑會對企業(yè)形象造成巨大打擊。

此次事件不僅危及數(shù)據(jù)庫本身的安全，還將所有相關(guān)人員的網(wǎng)絡(luò)數(shù)據(jù)安全置于了危險之中。這無疑為黑客提供了可乘之機。

目前尚不確定是否有黑客在ElasticSearch服務(wù)器開放時入侵了該服務(wù)器。如果黑客成功入侵并獲取了“評測員”和亞馬遜店鋪的敏感信息，他們可能會利用這些信息進行詐騙、網(wǎng)絡(luò)釣魚攻擊、欺詐等犯罪行為。

即便是看似簡單的電子郵件地址信息，黑客也可以巧妙地運用網(wǎng)絡(luò)釣魚技術(shù)來誘導(dǎo)受害者點擊鏈接并下載惡意文件。這些文件不僅為黑客的犯罪行為提供了基礎(chǔ)，還可能竊取更多個人信息進行進一步的詐騙活動。

黑客還可能利用這些泄露的信息冒充PayPal等支付平臺的工作人員，要求用戶“更新密碼”。一旦用戶泄露了PayPal密碼，黑客便有可能盜取賬戶資金或獲取更多敏感信息用于進一步的詐騙活動。

值得注意的是，此次被泄露數(shù)據(jù)的服務(wù)器中包含了眾多賣家的敏感信息，其中一些是賣家不希望公開給監(jiān)管機構(gòu)或調(diào)查機構(gòu)的。這些信息的存在為黑客提供了敲詐勒索的機會。一旦獲得這些數(shù)據(jù)，黑客可能會以此為向賣家或個人索要巨額資金或進行信息交換。

（編輯：江同）

以上內(nèi)容僅供分享之用，不代表任何特定機構(gòu)的立場或觀點。希望以上內(nèi)容能為您提供有價值的參考信息。

小貼士：想要了解更多關(guān)于亞馬遜的資訊和動態(tài)嗎？點擊這里，開啟您的亞馬遜之旅！

（信息來源：AMZ實戰(zhàn)）