曝光 亚马逊平台上来自国内的水军刷评组织

SafetyDetectives网络安全团队发现了一个没有密码的ElasticSearch数据库服务器，持续监控至3月6日直到漏洞关闭，最终揭露了一家刷亚马逊好评的水军组织。

服务器包含亚马逊上的供应商和愿意提供虚假评论以换取免费产品的客户之间的直接信息。总共有13124962条记录(或7GB的数据)，可能会有超过20万人卷入这场不道德的虚假评论交易。

虽然目前还不清楚数据库的归属，但刷评漏洞显示了影响在线零售业的一个普遍问题。

如何刷好评？

亚马逊供应商向发送水军发送需要五星评论的商品/产品清单。水军随后会购买这些产品，在收到商品几天后在亚马逊上留下五星评论。

然后，水军向供应商提供包含他们在亚马逊的个人资料链接和PayPal详细信息。

亚马逊供应商若确认评论到账，水军就能通过PayPal收到退款，商品则被当做报酬。

购买和退款行为都通过PayPal完成，而非直接通过亚马逊的平台。避免五星评论，引发亚马逊平台方的怀疑。

ElasticSearch服务器没有任何密码保护或加密，可以从中找到：

1. 与供应商有关的数据

WhatsApp和Telegram手机号码，包括水军组织者和供应商的联系方式。

2. 与评论者有关的数据

ElasticSearch上的信息还包含其他形式的直接和间接的个人数据，可以暴露评论者的身份，例如，75K的亚马逊账户链接/评论卖家的档案，PayPal账户的详细信息，包括用户名，通常包含名字和姓氏。

具体评论者的Gmail地址也被直接提供给供应商。总共有232664个Gmail在被曝光，尽管其中一些电子邮件地址是重复的。

泄露的记录数量 + 13M
受影响的用户数量 估计为20-25万
泄露的大小为 7GB
服务器地点 中国
公司所在地 或为中国*(据说来自深圳)

参考
https://www.safetydetectives.com/blog/amazon-reviews-leak-report/?__cf_chl_jschl_tk__=fd09f4c93a8d84ac3db6269cf7c796c6e56e2374-1620612650-0-AQdZ3bqbNzXXs_DL7WoqHGMVp7pTpX6FPpjw0UyfxFRvJBGkjLaG-HQ59UB8e6str0it5bUr2romaYx3OLxMPn92AesE_EIReBCRuCAnxnstW4rcSUn6hc0_nAySj4JRfhL8TxpYLD4Zq6MDRKl-_YozCaAR5eKER4MKPZ9Z_IYFQor2_aOyVCgT9lRF6jJHXgaUeMloAh2CeFUaeu5qm5W0ChEB1AfXiTqLF0cdua5wYTzKtccyPLhIPUroZrh-z70awg0E2bM4cGDhLWWiVCmX_4NMkguYuLbPxkYTetZT4GMwnGqDv5gDIQ2fBVwlV58i9mfKIBL6QJpVTa3OSJsdeCl14Py5OaQB3MrfCUtL820zsT6IeRCIfdUSFyWib2FDUnRfmCtkeFDFkGUdSgtWvmi6i_hBT_MPDN5agL1hiLpUXP_7PIFJ-p9IlOK8Og4OA2ZmWWzMzu8hpXIO0VVPV8itm3vijlORtDL_W6Cs1YC5H_CZfLu2RFAm89Yx4A

ps 看分析师解读，这次影响很大。因为舆论压力，估计亚马逊会清洗卖家。另外，刷单在美国和欧盟是违法的，属于不正当竞争。买水军的卖家，要承担巨额罚款或遭遇集体诉讼(来自其它中小卖家)。