刷單數(shù)據(jù)被泄露，7.5萬(wàn)亞馬遜賣家面臨賬號(hào)被關(guān)！

在2018年9月的時(shí)候亞馬遜員工受賄行為，導(dǎo)致大量客戶數(shù)據(jù)泄露第三方，近日，Safety Detectives網(wǎng)安團(tuán)隊(duì)公布了一則消息引發(fā)亞馬遜賣家圈“大爆炸”的刷評(píng)數(shù)據(jù)庫(kù)泄露的相關(guān)調(diào)查報(bào)告。此次調(diào)查報(bào)告內(nèi)容提要如下：

SafetyDetectives網(wǎng)絡(luò)安全團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)開放的ElasticSearch服務(wù)器，這一服務(wù)器“揭發(fā)”了一場(chǎng)有組織有預(yù)謀的虛假評(píng)論騙局（即刷評(píng)）。

該服務(wù)器里保存著亞馬遜賣家和愿意提供虛假評(píng)論以換取免費(fèi)產(chǎn)品的消費(fèi)者之間的往來(lái)信息，涉及信息總共有13,124,962條（數(shù)據(jù)包達(dá)7GB）。而據(jù)不完全統(tǒng)計(jì)，在此次數(shù)據(jù)庫(kù)泄露事件中，牽扯的買賣雙方人數(shù)或?qū)⒃?0萬(wàn)之間。

根據(jù)服務(wù)器內(nèi)曝光的數(shù)據(jù)顯示，相關(guān)的亞馬遜賣家會(huì)向“評(píng)測(cè)員”發(fā)送一份他們希望得到五星評(píng)論的產(chǎn)品清單。提供所謂“測(cè)評(píng)”的人隨后會(huì)在賣家店鋪中購(gòu)買這些產(chǎn)品，并在收到商品幾天后給賣家留滿分評(píng)論。

待留評(píng)完成后，“評(píng)測(cè)員”將給“合作賣家”發(fā)送包括他們?cè)趤嗰R遜的個(gè)人資料鏈接以及他們的PayPal（收款賬戶）等信息。一旦賣家確認(rèn)所有評(píng)論都已完成，“評(píng)測(cè)員”將通過(guò)PayPal收到退款，而到手的商品則是“評(píng)測(cè)報(bào)酬”。

被曝光數(shù)據(jù)的信息類型：

賣家方面：

1.郵箱地址。

2.Whatsapp和電報(bào)手機(jī)號(hào)。

買手方面（也是本次數(shù)據(jù)泄露事件最致命的地方）：

1.75000個(gè)亞馬遜買家賬號(hào)。

2.Paypal的詳細(xì)信息 （注冊(cè)郵箱地址）。

3.個(gè)人通信郵箱地址。

4.Fan name-用戶名。

5.232664個(gè)Gmail郵箱地址。

6.服務(wù)器地址 指向中國(guó)（但所造成的影響范圍之廣絕不僅有中國(guó)。）

7.公司地址 指向中國(guó)。

事件潛在的懲罰措施：

（一）亞馬遜有可能會(huì)采取法律措施應(yīng)對(duì)這些變相購(gòu)買虛假評(píng)論的公司。

（二）美國(guó) Federal Trade Commission聯(lián)邦貿(mào)易委員會(huì)，會(huì)采取法律措施對(duì)這些賣家采取最多1000萬(wàn)美金的罰款。

（三）如果其他國(guó)家的個(gè)人受到影響，其他司法管轄區(qū)也可以進(jìn)行調(diào)查。對(duì)美國(guó)公民造成的任何損害都可能涉及FTC，該交易可對(duì)企業(yè)處以最高1億美元的罰款，而歐洲公民則受到GDPR的保護(hù)。如果歐洲公民的數(shù)據(jù)處理不當(dāng)，則可能向數(shù)據(jù)庫(kù)所有者收取約2000萬(wàn)歐元（或公司收入的4％）的罰款。

測(cè)評(píng)人員:

所謂的“測(cè)評(píng)人員”都會(huì)可能收到法律懲罰。如果“評(píng)測(cè)員”是被“誤導(dǎo)”的，懲罰力度就會(huì)大大減輕。但如果個(gè)人名下有數(shù)千條虛假評(píng)論的欺詐性“評(píng)測(cè)員”或?qū)⒚媾R超1萬(wàn)美元的罰款，甚至可能被判處監(jiān)禁。

另外雖然亞馬遜重點(diǎn)審查的違規(guī)求評(píng)的賣家，但一經(jīng)發(fā)現(xiàn)“測(cè)評(píng)員”的亞馬遜賬戶也會(huì)可能被終止使用。

尾聲：

這一次的數(shù)據(jù)泄露對(duì)不少人造成財(cái)產(chǎn)損失，暫時(shí)不知道是否有黑客導(dǎo)致數(shù)據(jù)泄露，如果黑客訪問了該服務(wù)器，“評(píng)測(cè)員”和亞馬遜店鋪的電子郵件地址、名字和姓氏等信息就可能會(huì)被非法黑客用來(lái)進(jìn)行詐騙、網(wǎng)絡(luò)釣魚攻擊、欺詐，甚至勒索。

如果是真的黑客盜入，黑客可能會(huì)向目標(biāo)受害者發(fā)送一封有針對(duì)性的電子郵件，利用個(gè)人數(shù)據(jù)直接與受害者對(duì)話，目的為了下一步的能接近提取利益。

黑客還可能會(huì)利用信息，冒充paypal的工作人員，從中獲取密碼，收取更多的詐騙有效信息（如交易記錄），進(jìn)行敲詐，一旦黑客掌握到受害者的數(shù)據(jù)會(huì)進(jìn)行敲詐，以勒索條件向個(gè)人或者亞馬遜賣家索要巨額資金。各位一定要擦亮眼睛，不要被不法分子乘機(jī)而入。

（來(lái)源：海象跨境）

以上內(nèi)容屬作者個(gè)人觀點(diǎn)，不代表雨果跨境立場(chǎng)！本文經(jīng)原作者授權(quán)轉(zhuǎn)載，轉(zhuǎn)載需經(jīng)原作者授權(quán)同意。

（來(lái)源：Jackson跨境智多星）