刷评数据泄露！过万亚马逊卖家被波及，新一轮清洗或来临

涉及卖家数或超20万，7.5万条亚马逊账号信息被泄露......近日，Safety Detectives网安团队公布了或将引发亚马逊卖家圈“大地震”的刷评数据库泄露的相关调查报告。此次调查报告内容提要如下：

SafetyDetectives网络安全团队发现了一个开放的ElasticSearch服务器，这一服务器“揭发”了一场有组织有预谋的虚假评论骗局（即刷评）。

该服务器里保存着亚马逊卖家和愿意提供虚假评论以换取免费产品的消费者之间的往来信息，涉及信息总共有13,124,962条（数据包达7GB）。而据不完全统计，在此次数据库泄露事件中，牵扯的买卖双方人数或将超过20万人。

虽然目前尚未得知该数据库所有者，但该事件暴露出了目前在电商行业里不合规却又普遍存在的“行业内幕”。

相关程序的运作方法

根据服务器内曝光的数据显示，相关的亚马逊卖家会向“评测员”发送一份他们希望得到五星评论的产品清单。提供所谓“测评”的人随后会在卖家店铺中购买这些产品，并在收到商品几天后给卖家留满分评论。

待留评完成后，“评测员”将给“合作卖家”发送包括他们在亚马逊的个人资料链接以及他们的PayPal（收款账户）等信息。一旦卖家确认所有评论都已完成，“评测员”将通过PayPal收到退款，而到手的商品则是“评测报酬”。

为了降低店铺被亚马逊封号风险，在这期间，双方交易都是通过PayPal进行的，并没有通过亚马逊平台。

卖家“买好评”截图

在某种情况下，卖家可能会需要额外付费（取决于“评测员”服务范畴），但在此次数据泄露事件中并不包含此种情况。

此次ElasticSearch服务器泄露的具体内容

1.卖家的相关数据

相关卖家被泄露的信息包括电子邮件地址、WhatsApp和Telegram电话号码等卖家联系方式。

卖家的详细联系信息（如电子邮件地址）

2. 评测员”的相关数据

该ElasticSearch服务器上储存的信息还包含直接和间接可识别的“评测员”个人数据，如：

-7.5万条直接链接到亚马逊账号或是测评员的数据档案

-PayPal账户详情（电子邮件地址）

-电子邮件地址

-“花名”——据说是用户名（通常包含名字及姓氏）

跳转到亚马逊账户的链接

包含亚马逊个人资料链接的相关数据

除了被泄露的用户名及PayPal账户等信息，“评测员”的Gmail地址也赫然在列。虽然有一些邮件地址是重复的，但在该服务器内，共储存有232,664个Gmail地址。

“评测员”的PayPal电子邮件

信息中包含电子邮件地址和“花名”

Gmail邮件地址的相关数量（包含部分重复邮箱地址）只涉及使用谷歌邮件的评测用户，并不包括使用如Outlook等其他邮件服务的“评测员”，这说明，相关卖家和“评测员”数量非常之广。另外，在该服务器内，还有75000个亚马逊账户的相关信息。因此，我方有理由估计，此次服务器被曝光，所涉及的相关人员大约在20万至25万人之间。

该服务器地址似乎位于中国，但所造成的影响范围之广绝不仅有中国。

*做出服务器所有人在中国的设想原因是，除卖家与“评测员”之间产生的相关交流，出现了中文形态的部分记录。

SafetyDetectives的网络安全团队在2021年3月1日发现了这一漏洞。并在接下来的几天里监测了该ElasticSearch服务器的状态，2021年3月6日，这一服务器的数据库“被上锁”。目前，SafetyDetectives无法确定该ElasticSearch服务器的所有者。且由于服务器在6日被上锁，SafetyDetectives无法再对该服务器进行访问。

鉴于数据库中所储存的相关记录和卖家属性范围，该服务器所有者可能是代表卖家与潜在“评测员”联系的第三方。该第三方可能是通过在Facebook或微信群中发布产品图片，以与“评测员”进行有偿留评合作的相关机构。

除了上述可能性，该服务器的所有者也可能是一家拥有多个子公司的大公司。但无论该服务器的所有者是谁，其都可能会受到消费者保护法的惩罚，而相关的亚马逊卖家，也可能会因违反亚马逊的服务条款而面临平台制裁。

如何运作以“逃过”过平台审查

用这种方式刷评，能够在一定程度上避免被平台的评论审核团队查处。

该ElasticSearch服务器中的信息强调了卖家为“掩盖其踪迹”而采用的技术，以让刷评符合平台规定——服务器的相关数据显示，亚马逊卖家会要求“评测员”在发布评论前等待几天。甚至还会要求评论的字数（要长），以及评论中应包括的某些产品细节描述。

给“评测员”提具体要求，以让留评信息更加真实可靠

一些卖家会给“评测员”具体的留评字数要求

在此次调查中，我方发现，相关亚马逊卖家会使用与原单词类似的短语隐藏关键词，以绕过平台审核。

相关亚马逊卖家通过伪装关键词以躲避平台检测

我方认为卖家与“评测员”其中的一些互动是通过Facebook进行的。该数据库的所有者可能使用了一个CRM系统，以将这些不同的沟通渠道（包括但不限于Facebook）汇总到一个平台上，再将数据存储在此次泄露的ElasticSearch服务器上。

利用话术将刷评合规化

虽然很多提供“测评“的消费者可能知道自己在做什么，但我方也必须强调，在此次泄露的服务器数据中，亚马逊卖家并未向“评测员”告知虚假评论是违规的。

根据泄露数据库中的信息显示，相关卖家会使用“专业”的话术，将刷评包装合规化——在给有可能进行合作的“评测员”发信息时，相关卖家会使用“产品测试”和“产品免费试用”等话术。

“官方”话术，使刷评听起来合规化

如果不了解营销法、亚马逊服务条款或虚假评论可能带来的更广泛影响，一些消费者可能会认为与亚马逊卖家合作进行虚假评论并没有什么所谓。

一名潜在的“评测员”似乎没有意识到刷评会带来的后果

所造成的影响

该ElasticSearch服务器的所有者或将面临两方面的制裁：一是与该公司或个人涉及制作非法营销材料有关；二是数据泄露本身对相关人员/企业将带来的损失。

·相关人员可能会面临的处罚

-亚马逊卖家

被发现为其产品购买虚假评论的亚马逊店铺可能会因为这类违法违规行为面临各种处罚和制裁。

首先，亚马逊卖家刷评违反了亚马逊的服务条款。

亚马逊可以对不合规的卖家店铺进行一系列的制裁。卖家账户可能会被永久关停，也可能会失去品类销售的许可，且处罚是可以立即生效的。另外，亚马逊也可以扣罚所有未决交易的收益——这意味着就算产品已经售出，卖家也无法提款。且任何被发现含有虚假评论的产品页面的评论将被亚马逊删除，涉及产品在未来将无法收到评论或评级，产品甚至做下架处理。

另外，亚马逊保留公开不合规卖家店铺的名称（和任何其他相关信息）的权利。亚马逊的服务条款也概述了亚马逊可能会选择对相关卖家或企业采取法律行动。

在部分国家/地区，因为损害了消费者的正当权利，花钱刷评是一种非法行为。如果花钱刷评的店铺或公司在美国，那么店铺或公司将面临联邦贸易委员会（FTC）的合法纠察。且使用欺骗性的营销手段也可能会使美国的亚马逊卖家受到超过1000万美元的重罚。

-评测人员

所谓的“评测员”的也可能会受到法律的惩罚。

是否主动进行“测评”对受罚程度有较大影响。如果“评测员”是被“误导”的，惩罚力度就会大大减轻。但如果个人名下有数千条虚假评论的欺诈性“评测员”或将面临超1万美元的罚款，甚至可能被判处监禁。

惩罚的力度取决于不同司法管辖区的不同规定。

另外，虽然亚马逊重点审查的是违规求评的卖家，但一经发现，“评测员”的亚马逊账户可能也会被终止使用。

·数据泄露的影响

这种性质的数据泄露所造成的声誉和财务损失是实实在在的。除了上述处罚和指控之外，如果ElasticSearch数据库的所有者被确认，其可能会因违反数据保护法而面临进一步的制裁。

在我方知道数据被泄露的个人公民身份之前，此类案件涉及的所有管辖范围都不清楚。服务器的所有者似乎是身处中国。如果严重违反中国的数据保护法，服务器所有者可能会被处以高达760万美元的罚款（或该公司前一年营业额的5%）。

如果其他国家的个人受到影响，其他司法管辖区也可能进行调查。对美国公民的任何损害可能涉及联邦贸易委员会，即联邦贸易委员会可对相关企业处以最高1亿美元的罚款，而欧洲公民则受到GDPR的保护，如果欧洲公民的数据处理不当，数据库的所有者将被处以约2000万欧元的罚款（或公司收入的4%）。

数据泄露，以及任何额外的犯罪行为，都会对与此类事件相关的企业造成可视的声誉损害。毕竟客户倾向于选择不涉及诉讼、非法活动或不良数据保护行为的企业。

此次数据泄露，还将数据库中储存的所有相关人员的网络数据安全都置于危险之中。

目前暂时还不知道是否有黑客在ElasticSearch服务器开放期间进入服务器。如果黑客访问了该服务器，“评测员”和亚马逊店铺的电子邮件地址、名字和姓氏等信息就可能会被非法黑客用来进行诈骗、网络钓鱼攻击、欺诈，甚至勒索。

哪怕是像电子邮件地址这样简单的东西，黑客都可以发起钓鱼攻击。通过具体的信息，黑客会向目标受害者发送一封有针对性的电子邮件，利用个人数据直接与受害者对话，并建立彼此间的信任感。而后，非法黑客将通过说服受害者点击一个链接，从而将恶意文件下载到受害者的设备上。（这些恶意文件能为黑客进行进一步的犯罪活动提供了基础）

黑客还可以利用这些信息，冒充PayPal的工作人员，要求用户“更新密码”。一旦用户将他们的PayPal密码传给黑客，黑客就很有可能掏空受害者的账户。进入受害者的PayPal界面后，黑客甚至可以拿到更多能进行诈骗的有效信息（如交易记录）。

且此次被泄露数据的服务器中包含许多卖家的不合规信息，而这些信息是这些当事人可能不希望提供给监管或调查机构的。与入罪数据相关的明显风险意味着黑客可能利用这些数据对受害者进行敲诈——一旦获得数据，黑客或将以此为勒索条件向个人或亚马逊卖家索要巨额资金或进行所谓的信息置换。

（编辑：江同）

以上内容仅做分享使用，不代表雨果跨境立场！