A equipe de segurança cibernética da SafetyDetectives descobriu um banco de dados mal configurado contendo informações sobre um esquema de revisões falsas da Amazon. Os pesquisadores da empresa encontraram o servidor Elasticsearch, baseado na China, exposto online sem qualquer proteção de senha ou criptografia.
Segundo os pesquisadores de segurança, o banco de dados pode ter exposto cerca de 7 GB com mais de 13 milhões de registros, incluindo endereços de e-mail e números de telefone do WhatsApp e Telegram de contatos de fornecedores, além de endereços de e-mail, sobrenomes, detalhes de contas do PayPal e perfis de contas dos revisores da Amazon.
De acordo com a SafetyDetectives, os golpes de revisão falsos normalmente começam com os fornecedores enviando aos seus contatos de revisores uma lista de produtos para os quais eles gostariam de uma revisão cinco estrelas. Após sair da avaliação e enviar um link ao vendedor, o revisor será pago via PayPal para compensá-lo pela compra do produto e poderá ficar com o próprio produto como forma de pagamento. O site de avaliações afirma que mais de 200 mil pessoas podem ter se envolvido nesse golpe.
A equipe SafetyDetectives descobriu o banco de dados em 1º de março e foi protegido cerca de uma semana depois, embora os pesquisadores não tenham sido capazes de rastrear seu proprietário. “Dada a extensão dos registros e fornecedores incluídos no banco de dados, é possível que o servidor não seja propriedade dos fornecedores da Amazon que executam o golpe. O servidor pode ser propriedade de um terceiro que alcança revisores em potencial em nome dos fornecedores”, explicou a empresa.
Veja isso
Google e Amazon, marcas campeãs em campanhas de phishing
Amazon comunica ter mitigado o maior dos DDoS: 2,3 Tbps
Segundo os pesquisadores da SafetyDetectives, terceiros podem postar uma foto do produto em um grupo do Facebook ou WeChat, pedindo avaliações em troca de produtos gratuitos. O servidor também pode pertencer a uma grande empresa com várias subsidiárias, o que explicaria a presença de vários fornecedores. “O que está claro é que o proprietário do servidor pode estar sujeito a punições das leis de proteção ao consumidor, e quem está pagando por essas avaliações falsas pode enfrentar sanções por violar os termos de serviço da Amazon”, disseram eles.
Há também um risco potencial de segurança de dados e fraude de identidade para aqueles cujas informações foram expostas na confusão de privacidade, alertou a SafetyDetectives.
Para ter acesso ao relatório completo da SafetyDetectives acesse o link: https://www.safetydetectives.com/blog/amazon-reviews-leak-report/
