刷评数据泄露！过万亚马逊卖家被波及，新一轮清洗或来临

微商货源

涉及卖家数或超20万，7.5万条亚马逊账号信息被泄露......近日，Safety Detectives网安团队颁布 了或将引发亚马逊卖家圈“年夜 地动 ”的刷评数据库泄露的相关查询拜访 申报 。此次查询拜访 申报 内容提要如下：
SafetyDetectives网络平安 团队发明 了一个开放的ElasticSearch办事 器，这一办事 器“揭发”了一场有组织有预谋的虚假评论骗局（即刷评）。
该办事 器里保存着亚马逊卖家和愿意提供虚假评论以换取免费产品的消费者之间的往来信息，涉及信息总共有13,124,962条（数据包达7GB）。而据不完全统计，在此次数据库泄露事件中，牵扯的买卖双方人数或将跨越 20万人。
虽然目前尚未得知该数据库所有者，但该事件裸露 出了目前在电商行业里不合规却又普遍存在的“行业内幕”。
相关法度模范 的运作办法
依据 办事 器内曝光的数据显示，相关的亚马逊卖家会向“评测员”发送一份他们希望获得 五星评论的产品清单。提供所谓“测评”的人随后会在卖家商号 中购买这些产品，并在收到商品几天后给卖家留满分评论。
待留评完成后，“评测员”将给“合作卖家”发送包含 他们在亚马逊的小我 资料链接以及他们的PayPal（收款账户）等信息。一旦卖家确认所有评论都已完成，“评测员”将通过PayPal收到退款，而到手的商品则是“评测待遇 ”。
为了降低商号 被亚马逊封号风险，在这期间，双方交易都是通过PayPal进行的，并没有通过亚马逊平台。

卖家“买好评”截图
在某种情况下，卖家可能会需要额外付费（取决于“评测员”办事 领域 ），但在此次数据泄露事件中并不包含此种情况。
此次ElasticSearch办事 器泄露的具体内容
1.卖家的相关数据
相关卖家被泄露的信息包含 电子邮件地址、WhatsApp和Telegram德律风 号码等卖家联系方法 。

卖家的详细联系信息（如电子邮件地址）
2. 评测员”的相关数据
该ElasticSearch办事 器上储存的信息还包含直接和间接可识其余 “评测员”小我 数据，如：
-7.5万条直接链接到亚马逊账号或是测评员的数据档案
-PayPal账户详情（电子邮件地址）
-电子邮件地址
-“花名”——据说是用户名（通常包含名字及姓氏）

跳转到亚马逊账户的链接

包含亚马逊小我 资料链接的相关数据
除了被泄露的用户名及PayPal账户等信息，“评测员”的Gmail地址也赫然在列。虽然有一些邮件地址是重复的，但在该办事 器内，共储存有232,664个Gmail地址。

“评测员”的PayPal电子邮件

信息中包含电子邮件地址和“花名”
Gmail邮件地址的相关数量（包含部分重复邮箱地址）只涉及使用谷歌邮件的评测用户，并不包含 使用如Outlook等其他邮件办事 的“评测员”，这说明，相关卖家和“评测员”数量异常 之广。另外，在该办事 器内，还有75000个亚马逊账户的相关信息。因此，我方有理由估计，此次办事 器被曝光，所涉及的相关人员年夜 约在20万至25万人之间。
该办事 器地址似乎位于中国，但所造成的影响范围之广绝不仅有中国。

*做出办事 器所有人在中国的设想原因是，除卖家与“评测员”之间产生的相关交流，涌现 了中文形态的部分记录。
SafetyDetectives的网络平安 团队在2021年3月1日发明 了这一漏洞。并在接下来的几天里监测了该ElasticSearch办事 器的状态，2021年3月6日，这一办事 器的数据库“被上锁”。目前，SafetyDetectives无法确定该ElasticSearch办事 器的所有者。且由于办事 器在6日被上锁，SafetyDetectives无法再对该办事 器进行拜访 。
鉴于数据库中所储存的相关记录和卖家属性范围，该办事 器所有者可能是代表卖家与潜在“评测员”联系的第三方。该第三方可能是通过在Facebook或微信群中宣布 产品图片，以与“评测员”进行有偿留评合作的相关机构。
除了上述可能性，该办事 器的所有者也可能是一家拥有多个子公司的年夜 公司。但无论该办事 器的所有者是谁，其都可能会受到消费者掩护 法的处罚，而相关的亚马逊卖家，也可能会因违反亚马逊的办事 条款而面临平台制裁。
如何运作以“逃过”过平台审查
用这种方法 刷评，能够在一定水平 上避免被平台的评论审核团队查处。
该ElasticSearch办事 器中的信息强调了卖家为“掩盖其踪迹”而采取 的技术，以让刷评相符 平台划定 ——办事 器的相关数据显示，亚马逊卖家会要求“评测员”在宣布 评论前期待 几天。甚至还会要求评论的字数（要长），以及评论中应包含 的某些产品细节描述。

给“评测员”提具体要求，以让留评信息加倍 真实可靠

一些卖家会给“评测员”具体的留评字数要求
在此次查询拜访 中，我方发明 ，相关亚马逊卖家会使用与原单词类似的短语隐藏症结 词，以绕过平台审核。

相关亚马逊卖家通过伪装症结 词以回避 平台检测
我方认为卖家与“评测员”其中的一些互动是通过Facebook进行的。该数据库的所有者可能使用了一个CRM系统，以将这些不合的沟通渠道（包含 但不限于Facebook）汇总到一个平台上，再将数据存储在此次泄露的ElasticSearch办事 器上。
利用话术将刷评合规化
虽然很多提供“测评“的消费者可能知道自己在做什么，但我方也必须强调，在此次泄露的办事 器数据中，亚马逊卖家并未向“评测员”告诉 虚假评论是违规的。
依据 泄露数据库中的信息显示，相关卖家会使用“专业”的话术，将刷评包装合规化——在给有可能进行合作的“评测员”发信息时，相关卖家会使用“产品测试”和“产品免费试用”等话术。

“官方”话术，使刷评听起来合规化
如果不了解营销法、亚马逊办事 条款或虚假评论可能带来的更普遍 影响，一些消费者可能会认为与亚马逊卖家合作进行虚假评论并没有什么所谓。

一名潜在的“评测员”似乎没有意识到刷评会带来的后果
所造成的影响
该ElasticSearch办事 器的所有者或将面临两方面的制裁：一是与该公司或小我 涉及制作不法 营销资料 有关；二是数据泄露自己 对相关人员/企业将带来的损失。
·相关人员可能会面临的处罚
-亚马逊卖家
被发明 为其产品购买虚假评论的亚马逊商号 可能会因为这类违法违规行为面临各类 处罚和制裁。
首先，亚马逊卖家刷评违反了亚马逊的办事 条款。
亚马逊可以对不合规的卖家商号 进行一系列的制裁。卖家账户可能会被永久关停，也可能会失去品类销售的许可，且处罚是可以立即生效的。另外，亚马逊也可以扣罚所有未决交易的收益——这意味着就算产品已经售出，卖家也无法提款。且任何被发明 含有虚假评论的产品页面的评论将被亚马逊删除，涉及产品在未来将无法收到评论或评级，产品甚至做下架处理。
另外，亚马逊保存 公开不合规卖家商号 的名称（和任何其他相关信息）的权利。亚马逊的办事 条款也概述了亚马逊可能会选择对相关卖家或企业采取司法 行动。
在部分国度 /地区，因为损害了消费者的正当权利，花钱刷评是一种不法 行为。如果花钱刷评的商号 或公司在美国，那么商号 或公司将面临联邦贸易委员会（FTC）的正当 纠察。且使用欺骗性的营销手段也可能会使美国的亚马逊卖家受到跨越 1000万美元的重罚。
-评测人员
所谓的“评测员”的也可能会受到司法 的处罚。
是否主动进行“测评”对受罚水平 有较年夜 影响。如果“评测员”是被“误导”的，处罚力度就会年夜 年夜 减轻。但如果小我 名下有数千条虚假评论的欺诈性“评测员”或将面临超1万美元的罚款，甚至可能被判处监禁。
处罚的力度取决于不合司法管辖区的不合划定 。
另外，虽然亚马逊重点审查的是违规求评的卖家，但一经发明 ，“评测员”的亚马逊账户可能也会被终止使用。
·数据泄露的影响
这种性质的数据泄露所造成的声誉和财务损失是实实在在的。除了上述处罚和指控之外，如果ElasticSearch数据库的所有者被确认，其可能会因违反数据掩护 法而面临进一步的制裁。
在我方知道数据被泄露的小我 公民身份之前，此类案件涉及的所有管辖范围都不清楚。办事 器的所有者似乎是身处中国。如果严重违反中国的数据掩护 法，办事 器所有者可能会被处以高达760万美元的罚款（或该公司前一年营业额的5%）。
如果其他国度 的小我 受到影响，其他司法管辖区也可能进行查询拜访 。对美国公民的任何损害可能涉及联邦贸易委员会，即联邦贸易委员会可对相关企业处以最高1亿美元的罚款，而欧洲公民则受到GDPR的掩护 ，如果欧洲公民的数据处理欠妥 ，数据库的所有者将被处以约2000万欧元的罚款（或公司收入的4%）。
数据泄露，以及任何额外的犯法 行为，都邑 对与此类事件相关的企业造成可视的声誉损害。究竟 客户倾向于选择不涉及诉讼、不法 活动或不良数据掩护 行为的企业。
此次数据泄露，还将数据库中储存的所有相关人员的网络数据平安 都置于危险之中。
目前暂时还不知道是否有黑客在ElasticSearch办事 器开放期间进入办事 器。如果黑客拜访 了该办事 器，“评测员”和亚马逊商号 的电子邮件地址、名字和姓氏等信息就可能会被不法 黑客用来进行诈骗、网络垂纶 进击 、欺诈，甚至勒索。
哪怕是像电子邮件地址这样简单的器械 ，黑客都可以提议 垂纶 进击 。通过具体的信息，黑客会向目标受害者发送一封有针对性的电子邮件，利用小我 数据直接与受害者对话，并建立彼此间的信任感。而后，不法 黑客将通过说服受害者点击一个链接，从而将恶意文件下载到受害者的设备上。（这些恶意文件能为黑客进行进一步的犯法 活动提供了基础）
黑客还可以利用这些信息，冒充PayPal的工作人员，要求用户“更新密码”。一旦用户将他们的PayPal密码传给黑客，黑客就很有可能掏空受害者的账户。进入受害者的PayPal界面后，黑客甚至可以拿到更多能进行诈骗的有效信息（如交易记录）。
且此次被泄露数据的办事 器中包含许多卖家的不合规信息，而这些信息是这些当事人可能不希望提供给监管或查询拜访 机构的。与入罪数据相关的明显风险意味着黑客可能利用这些数据对受害者进行敲诈——一旦获得数据，黑客或将以此为勒索条件向小我 或亚马逊卖家索要巨额资金或进行所谓的信息置换。
（编辑：江同）
以上内容仅做分享使用，不代表雨果跨境立场！