Des escrocs ont accidentellement exposé plus de 13 millions d'enregistrements de données via une base de données ElasticSearch ouverte, liée à une escroquerie de faux avis à grande échelle impliquant des vendeurs et des utilisateurs indépendants d'Amazon dans un comportement contraire à l'éthique et illégal. Les données, qui pèsent 7 Go et concernent plus de 200 000 personnes, ont été découvertes par des chercheurs travaillant pour le compte des spécialistes de l'antivirus SafetyDetectives, qui ont trouvé le serveur le 1er mars 2021 et surveillé son état les jours suivants (il a été fermé le 6 mars). Le serveur non sécurisé semble être physiquement situé en Chine, mais les données concernent des personnes en Europe et aux États-Unis.
Depuis les débuts d'Amazon, les avis sont une métrique sur laquelle les clients peuvent s’appuyer pour déterminer la qualité et l'authenticité d'un produit. Les listes d'Amazon contiennent souvent des centaines ou des milliers d'avis, au lieu des quelques-uns trouvés sur les marchés concurrents. Mais bon nombre de ces avis ne sont pas fiables. Des milliers de fausses critiques ont inondé Amazon, Walmart, eBay et d'autres, alors que les ventes ont explosé notamment suite aux mesures de confinement pour tenter d'endiguer la progression du coronavirus.
Allant de groupes Facebook où des acteurs malveillants sollicitent des critiques positives payées jusqu’aux bots et fermes à clics qui donnent un vote favorable aux critiques négatives pour éliminer la concurrence, les fausses critiques sont de plus en plus difficiles à repérer. En juillet, l'UCLA et l'USC ont publié une étude qui a trouvé plus de 20 groupes Facebook reliés à la diffusion de fausses critiques avec une moyenne de 16 000 membres. Avec plus de 560 publications par jour, les vendeurs ont offert un remboursement ou un paiement pour un avis positif, généralement autour de 6 $.
Les répercussions sont également de plus en plus graves, car les acheteurs confinés durant la crise de coronavirus se tournent de plus en plus vers Internet pour acheter des produits qu'ils souhaiteraient normalement acheter en personne. Ces derniers mois, de fausses critiques ont stimulé les ventes de produits dangereux et nui aux affaires des vendeurs légitimes, ce qui a amené des grandes marques à rompre leurs liens avec Amazon.
Les avis publiés par les utilisateurs sur Amazon sont considérés comme un facteur important dans les chances d'un vendeur d'augmenter ses ventes sur la plateforme. Les notes positives rendent généralement les clients plus susceptibles d'effectuer un achat, mais elles influencent également des facteurs tels que la place de l'article sur certaines annonces.
La base de données liée à une vaste campagne d'escroquerie découverte
Alors que les journalistes ou les blogueurs recevront souvent des articles gratuits qu’ils peuvent utiliser à des fins de tests, les directives d'Amazon interdisent aux utilisateurs de « publier du contenu en échange d'une compensation de quelque nature que ce soit (y compris des produits gratuits ou à prix réduit) ». Pourtant une forme d'escroquerie a émergé sur la plateforme : des marques, dont beaucoup en Chine de fabricants inconnus, se sont appuyé sur la notoriété des critiques de la plateforme pour inciter à l'achat en les soudoyant en échange de critique positive et de 5 étoiles.
Cette fois-ci, des escrocs ont accidentellement exposé plus de 13 millions d'enregistrements de données via une base de données ElasticSearch ouverte. Elle a été découverte par des chercheurs travaillant pour le compte des spécialistes de l'antivirus SafetyDetectives : « Nous n'avons pas pu identifier le propriétaire du serveur ElasticSearch », a déclaré l'équipe. « En conséquence, nous n'avons pas pu informer l'entreprise en question de ce problème de sécurité ».
« Compte tenu de l'étendue des enregistrements et des fournisseurs inclus dans la base de données, il est possible que le serveur n'appartienne pas aux fournisseurs d'Amazon qui exécutent l'arnaque. Le serveur peut appartenir à un tiers qui contacte les réviseurs potentiels au nom des fournisseurs. Des tiers peuvent publier une photo du produit dans un groupe Facebook ou WeChat, demandant des avis en échange de produits gratuits.
« Le serveur pourrait également appartenir à une grande entreprise avec plusieurs filiales, ce qui expliquerait la présence de plusieurs fournisseurs.
« Ce qui est clair, c'est que quiconque possède le serveur pourrait être soumis à des sanctions en vertu des lois sur la protection des consommateurs, et quiconque paie pour ces fausses critiques peut faire face à des sanctions pour avoir enfreint les conditions de service d'Amazon ».
Le processus d'obtention de faux avis sur Amazon qui a été exposé dans la fuite fonctionne comme suit :
Les vendeurs envoient aux personnes qui sont prêtes à laisser de faux avis. Ces personnes achètent ensuite les produits et rédigent un avis, puis elles envoient un message au vendeur contenant un lien vers leur profil Amazon et, surtout à l'arnaque, lui fournissent leurs coordonnées PayPal pour obtenir un « remboursement ». Elles peuvent conserver le produit qu'ils ont acheté.
En exécutant le processus de remboursement via PayPal, a déclaré SafetyDetectives, le processus donne à l'examen une apparence légitime et évite d'attirer l'attention des modérateurs d'Amazon.
Les données relatives aux fournisseurs comprenaient les coordonnées, les adresses e-mail et les numéros de téléphone liés aux comptes WhatsApp et Telegram utilisés pour communiquer avec les évaluateurs. Les données relatives aux examinateurs frauduleux comprenaient plusieurs éléments d'informations personnellement identifiables (PII), y compris 75 000 liens vers leurs comptes et profils Amazon, les détails du compte PayPal, 232 664 adresses Gmail et noms d'utilisateur – dont beaucoup contenaient de vrais noms.
Bien que l'activité est contraire aux conditions d'utilisation d'Amazon et est illégale, SafetyDetectives estime que certains des individus ayant participé à cette arnaque ont peut-être été amenés par inadvertance à contribuer à l’opération :.
« Bien que de nombreuses personnes qui fournissent de faux avis savent probablement ce qu’elles font, nous devons également souligner que les fournisseurs n’annoncent pas que les faux avis sont illégaux », a déclaré l’équipe. « Des personnes sans prétention ont peut-être été ciblées par les fournisseurs d'Amazon avec l'offre de produits gratuits en échange d'un examen. Les fournisseurs utilisent un langage “professionnel” pour présenter l'offre comme étant un commerce légitime, en utilisant des expressions telles que “test” et “essais de produits gratuits” lorsqu'ils envoient des messages aux évaluateurs potentiels. C'est certainement le cas dans la base de données que nous avons détectée.
« Sans connaissance de la loi sur le marketing, des conditions de service d'Amazon ou de l'impact plus large que les faux avis peuvent avoir, certaines personnes peuvent ne pas penser à collaborer avec un fournisseur Amazon pour effectuer un faux avis.
« Lorsque nous considérons ceux qui sont impliqués dans cette violation et les impacts auxquels ils pourraient être confrontés en raison de cette exposition, nous devons garder à l'esprit que certains de ces examinateurs ont eux-mêmes été induits en erreur ».
Les fournisseurs impliqués peuvent être sanctionnés de plusieurs manières, généralement en fermant définitivement leurs comptes Amazon et en retenant les revenus en attente par Amazon. Les avis eux-mêmes seront supprimés de toute page de produit trouvée pour les contenir, et ce produit ne pourra plus recevoir d'avis ou de notes à l'avenir.
Amazon se réserve également le droit de divulguer les noms des vendeurs impliqués et peut intenter une action en justice contre eux dans les juridictions où payer des personnes pour laisser de faux avis est illégal. Aux États-Unis, par exemple, la Federal Trade Commission prévoit des amendes maximales de plus de 10 millions de dollars pour l'utilisation de tactiques de marketing trompeuses.
Les examinateurs individuels impliqués peuvent également être poursuivis légalement. Aux États-Unis, les amendes peuvent aller jusqu'à 10 000 $ et certains ont été condamnés à des peines de prison, bien que si l'examinateur peut fournir la preuve qu'il a été dupé, les sanctions peuvent être plus légères.
Le propriétaire du serveur, s'il était identifié, ferait naturellement l'objet d'enquêtes dans le cadre de divers régimes juridiques, y compris le règlement général sur la protection des données (RGPD).
Source : SafetyDetectives
Et vous ?
Avant d'effectuer un achat en ligne, lisez-vous les critiques ? Leur faites-vous confiance ? Quels sont les éléments sur lesquels vous vous appuyez avant de valider votre commande ?
Cette situation de fraude aux critiques vous surprend-elle ? Et le fait qu'elle prenne de l'ampleur pendant la crise de coronavirus ou qu'Amazon soit la plateforme la plus touchée ?
Avez-vous eu à gérer ce genre de problème sur les sites de e-commerce que vous avez développés ?
Quelle est, selon vous, la meilleure façon de résoudre ce problème ?
Des escrocs ont accidentellement exposé plus de 13 millions d'enregistrements de données
Liées à une escroquerie de faux avis à grande échelle impliquant des vendeurs et des utilisateurs d'Amazon
Des escrocs ont accidentellement exposé plus de 13 millions d'enregistrements de données
Liées à une escroquerie de faux avis à grande échelle impliquant des vendeurs et des utilisateurs d'Amazon
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !