據(jù)Safety Detectives網(wǎng)絡(luò)安全團(tuán)隊(duì)調(diào)查，他們發(fā)現(xiàn)了一個(gè)開放的ElasticSearch服務(wù)器，該服務(wù)器揭露了一個(gè)有組織有預(yù)謀的虛假評(píng)論騙局。在這個(gè)數(shù)據(jù)庫(kù)中，保存了亞馬遜賣家與愿意提供虛假評(píng)論以換取免費(fèi)產(chǎn)品的消費(fèi)者之間的往來(lái)信息，總計(jì)達(dá)到驚人的13,124,962條數(shù)據(jù)包，重量達(dá)7GB。據(jù)不完全統(tǒng)計(jì)，此次事件中涉及的買賣雙方人數(shù)可能已經(jīng)超過(guò)了20萬(wàn)人。

該服務(wù)器的發(fā)現(xiàn)，暴露了電商行業(yè)中一種不合規(guī)卻普遍存在的行業(yè)內(nèi)幕。根據(jù)服務(wù)器內(nèi)曝光的數(shù)據(jù)，亞馬遜賣家會(huì)向“評(píng)測(cè)員”發(fā)送產(chǎn)品清單，希望得到五星評(píng)論。評(píng)測(cè)人員隨后會(huì)在賣家店鋪中購(gòu)買產(chǎn)品，并在收到商品后留評(píng)。為了降低店鋪被亞馬遜封號(hào)的風(fēng)險(xiǎn)，雙方交易都是通過(guò)PayPal等渠道進(jìn)行，避免使用亞馬遜平臺(tái)。

這次數(shù)據(jù)泄露的具體內(nèi)容包括賣家的相關(guān)信息、評(píng)測(cè)員的個(gè)人數(shù)據(jù)以及亞馬遜賬號(hào)信息等。其中，賣家的相關(guān)信息包括電子郵件地址、WhatsApp和Telegram電話號(hào)碼等聯(lián)系方式。而該ElasticSearch服務(wù)器上還儲(chǔ)存了大量可直接或間接識(shí)別的“評(píng)測(cè)員”個(gè)人數(shù)據(jù)，如PayPal賬戶詳情、電子郵件地址、“花名”（通常包含名字及姓氏）以及跳轉(zhuǎn)到亞馬遜賬戶的鏈接等。

除此之外，該服務(wù)器內(nèi)還儲(chǔ)存有大量Gmail地址，涉及使用谷歌郵件的評(píng)測(cè)用戶。雖然有一些郵件地址是重復(fù)的，但仍然覆蓋了廣泛的賣家和“評(píng)測(cè)員”群體。該服務(wù)器還有75,000個(gè)亞馬遜賬戶的相關(guān)信息。有理由估計(jì)，此次服務(wù)器被曝光，所涉及的相關(guān)人員大約在20萬(wàn)至25萬(wàn)人之間。該服務(wù)器地址疑似位于中國(guó)，但實(shí)際影響范圍遠(yuǎn)不止于此。

SafetyDetectives的網(wǎng)絡(luò)安全團(tuán)隊(duì)在2021年3月1日發(fā)現(xiàn)了這一漏洞，并在接下來(lái)的幾天里對(duì)該ElasticSearch服務(wù)器的狀態(tài)進(jìn)行了監(jiān)測(cè)。在3月6日，該服務(wù)器的數(shù)據(jù)庫(kù)被上鎖，SafetyDetectives無(wú)法再對(duì)其進(jìn)行訪問(wèn)。鑒于數(shù)據(jù)庫(kù)中所儲(chǔ)存的相關(guān)記錄和賣家屬性范圍，該服務(wù)器所有者可能是代表賣家與潛在“評(píng)測(cè)員”聯(lián)系的第三方機(jī)構(gòu)。

這次刷評(píng)行為在一定程度上能夠躲避平臺(tái)的評(píng)論審核團(tuán)隊(duì)的查處。賣家用技術(shù)手段“掩蓋其蹤跡”，以讓刷評(píng)符合平臺(tái)規(guī)定。例如，他們會(huì)要求“評(píng)測(cè)員”在發(fā)布評(píng)論前等待幾天，甚至還會(huì)對(duì)評(píng)論的字?jǐn)?shù)和內(nèi)容提出具體要求。相關(guān)亞馬遜賣家還會(huì)使用與原單詞類似的短語(yǔ)隱藏關(guān)鍵詞，以繞過(guò)平臺(tái)審核。

雖然一些消費(fèi)者可能知道自己在做什么，但很多賣家并未向“評(píng)測(cè)員”明確告知虛假評(píng)論是違規(guī)的。他們使用“專業(yè)”的話術(shù)將刷評(píng)包裝得合規(guī)化，如使用“產(chǎn)品測(cè)試”和“產(chǎn)品免費(fèi)試用”等說(shuō)法。如果不了解相關(guān)法規(guī)和平臺(tái)規(guī)定，一些消費(fèi)者可能會(huì)誤以為與亞馬遜賣家合作進(jìn)行虛假評(píng)論并無(wú)大礙。

對(duì)于這次數(shù)據(jù)泄露事件的后果，該ElasticSearch服務(wù)器的所有者可能面臨兩方面的制裁：一是與制作非法營(yíng)銷材料有關(guān)的問(wèn)題；二是數(shù)據(jù)泄露本身對(duì)相關(guān)人員/企業(yè)將帶來(lái)的損失。對(duì)于涉及的亞馬遜賣家和“評(píng)測(cè)員”，他們都可能面臨亞馬遜或相關(guān)法律機(jī)構(gòu)的處罰。提醒所有相關(guān)方應(yīng)嚴(yán)格遵守電商平臺(tái)的規(guī)則和法律法規(guī)，避免參與任何形式的虛假評(píng)論和違規(guī)營(yíng)銷活動(dòng)。司法裁量的多元性

不同司法管轄區(qū)對(duì)于懲罰的力度有著各自的規(guī)定。這就像每座山的風(fēng)景各異，每條法律的尺度也因地域而異。

除了亞馬遜對(duì)違規(guī)求評(píng)賣家的嚴(yán)格審查外，一旦發(fā)現(xiàn)“評(píng)測(cè)員”的亞馬遜賬戶涉及違規(guī)，其賬戶使用也將面臨終止的風(fēng)險(xiǎn)。這一現(xiàn)象體現(xiàn)了平臺(tái)的嚴(yán)厲監(jiān)管態(tài)度。

數(shù)據(jù)泄露的影響嚴(yán)重性

此類數(shù)據(jù)泄露的后果不僅僅是表面上的損失，更關(guān)乎企業(yè)的聲譽(yù)和財(cái)務(wù)的雙重打擊。若ElasticSearch數(shù)據(jù)庫(kù)所有者被確認(rèn)涉及違規(guī)，除了面臨前述的處罰和指控外，還可能因違反數(shù)據(jù)保護(hù)法而遭受進(jìn)一步的制裁。

目前尚不明確涉及數(shù)據(jù)泄露的個(gè)人公民身份所涉及的司法管轄范圍。服務(wù)器的擁有者似乎隱藏在中國(guó)。若違反了中國(guó)的數(shù)據(jù)保護(hù)法，并造成嚴(yán)重后果，服務(wù)器所有者將面臨高達(dá)760萬(wàn)美元的罰款或公司前一年?duì)I業(yè)額的5%的重罰。

這一數(shù)據(jù)泄露事件對(duì)于所有涉及的國(guó)家和地區(qū)都是一大挑戰(zhàn)。若其他國(guó)家的個(gè)人受到影響，相應(yīng)國(guó)家的司法機(jī)構(gòu)也將介入調(diào)查。特別是對(duì)于美國(guó)公民的損害，可能會(huì)牽涉到聯(lián)邦貿(mào)易委員會(huì)的介入，企業(yè)甚至可能面臨高達(dá)1億美元的罰款。而歐洲公民則受到GDPR的嚴(yán)格保護(hù)，任何數(shù)據(jù)處理不當(dāng)都將面臨高達(dá)2000萬(wàn)歐元的罰款或公司年收入的4%。

對(duì)于企業(yè)而言，數(shù)據(jù)泄露所帶來(lái)的聲譽(yù)損害是顯而易見的。客戶在選擇企業(yè)時(shí)，會(huì)傾向于那些沒有涉及訴訟、非法活動(dòng)或不良數(shù)據(jù)保護(hù)行為的企業(yè)。數(shù)據(jù)泄露事件無(wú)疑會(huì)對(duì)企業(yè)形象造成巨大打擊。

此次事件不僅危及數(shù)據(jù)庫(kù)本身的安全，還將所有相關(guān)人員的網(wǎng)絡(luò)數(shù)據(jù)安全置于了危險(xiǎn)之中。這無(wú)疑為黑客提供了可乘之機(jī)。

目前尚不確定是否有黑客在ElasticSearch服務(wù)器開放時(shí)入侵了該服務(wù)器。如果黑客成功入侵并獲取了“評(píng)測(cè)員”和亞馬遜店鋪的敏感信息，他們可能會(huì)利用這些信息進(jìn)行詐騙、網(wǎng)絡(luò)釣魚攻擊、欺詐等犯罪行為。

即便是看似簡(jiǎn)單的電子郵件地址信息，黑客也可以巧妙地運(yùn)用網(wǎng)絡(luò)釣魚技術(shù)來(lái)誘導(dǎo)受害者點(diǎn)擊鏈接并下載惡意文件。這些文件不僅為黑客的犯罪行為提供了基礎(chǔ)，還可能竊取更多個(gè)人信息進(jìn)行進(jìn)一步的詐騙活動(dòng)。

黑客還可能利用這些泄露的信息冒充PayPal等支付平臺(tái)的工作人員，要求用戶“更新密碼”。一旦用戶泄露了PayPal密碼，黑客便有可能盜取賬戶資金或獲取更多敏感信息用于進(jìn)一步的詐騙活動(dòng)。

值得注意的是，此次被泄露數(shù)據(jù)的服務(wù)器中包含了眾多賣家的敏感信息，其中一些是賣家不希望公開給監(jiān)管機(jī)構(gòu)或調(diào)查機(jī)構(gòu)的。這些信息的存在為黑客提供了敲詐勒索的機(jī)會(huì)。一旦獲得這些數(shù)據(jù)，黑客可能會(huì)以此為向賣家或個(gè)人索要巨額資金或進(jìn)行信息交換。

（編輯：江同）

以上內(nèi)容僅供分享之用，不代表任何特定機(jī)構(gòu)的立場(chǎng)或觀點(diǎn)。希望以上內(nèi)容能為您提供有價(jià)值的參考信息。

小貼士：想要了解更多關(guān)于亞馬遜的資訊和動(dòng)態(tài)嗎？點(diǎn)擊這里，開啟您的亞馬遜之旅！

（信息來(lái)源：AMZ實(shí)戰(zhàn)）