Betrüger geben versehentlich gefälschte Amazon-Rezensionsdaten preis

Betrüger geben versehentlich gefälschte Amazon-Rezensionsdaten preis

Ein Opsec-unkundiger Betrüger hat versehentlich mehr als 13 Millionen Datensätze über eine offene ElasticSearch Datenbank, die sich auf einen groß angelegten Betrug mit gefälschten Rezensionen bezieht, der unabhängige Amazon-Verkäufer und -Nutzer in unethisches und illegales Verhalten verwickelt.

Die Daten, die insgesamt 7 GB groß sind und sich auf mehr als 200.000 Personen beziehen, wurden von Forschern entdeckt, die im Auftrag des Antivirenspezialisten SafetyDetectives, die den Server am 1. März 2021 fanden und seinen Status in den nächsten Tagen überwachten – er wurde am 6. März gesperrt. Der ungesicherte Server scheint sich physisch in China zu befinden, aber die Daten beziehen sich auf Personen sowohl in Europa als auch in den USA.

“Wir waren nicht in der Lage, den Besitzer des ElasticSearch-Servers zu identifizieren”, sagte das Team. “Daher konnten wir das betreffende Unternehmen nicht über dieses Sicherheitsproblem informieren.

“Angesichts des Umfangs der Datensätze und Anbieter, die in der Datenbank enthalten sind, ist es möglich, dass der Server nicht den Amazon-Anbietern gehört, die den Betrug durchführen. Der Server könnte einer dritten Partei gehören, die potenzielle Rezensenten im Namen der Verkäufer anspricht. Dritte könnten ein Bild des Produkts in einer Facebook- oder WeChat-Gruppe posten und um Bewertungen im Gegenzug für kostenlose Produkte bitten.

“Der Server könnte auch im Besitz eines großen Unternehmens mit mehreren Tochtergesellschaften sein, was das Vorhandensein mehrerer Anbieter erklären würde.

“Klar ist, dass derjenige, dem der Server gehört, Strafen aus den Verbraucherschutzgesetzen unterliegen könnte, und wer auch immer für diese gefälschten Bewertungen bezahlt, könnte mit Sanktionen für den Verstoß gegen die Nutzungsbedingungen von Amazon rechnen.”

Der Prozess der Beschaffung von gefälschten Rezensionen auf Amazon, der in der Leck funktioniert wie folgt. Die Verkäufer senden Personen, die bereit sind, gefälschte Rezensionen zu hinterlassen, eine Liste von Produkten, für die sie gerne eine Fünf-Sterne-Rezension auf Amazon hätten. Diese Personen kaufen dann die Produkte und hinterlassen die Rezension, woraufhin sie eine Nachricht an den Verkäufer senden, die einen Link zu ihrem Amazon-Profil und, was für den Betrug entscheidend ist, ihre PayPal-Daten für eine “Rückerstattung” enthält. Sie dürfen das gekaufte Produkt behalten.

Indem der Rückerstattungsprozess über PayPal abgewickelt wird, so SafetyDetectives, lässt der Prozess die Rezension legitim erscheinen und vermeidet die Aufmerksamkeit von Amazons Moderatoren zu erregen.

Die Daten zu den Verkäufern enthielten Kontaktdaten, E-Mail-Adressen und Telefonnummern, die mit WhatsApp- und Telegram-Konten verknüpft waren, die zur Kommunikation mit den Rezensenten verwendet wurden. Die Daten der betrügerischen Rezensenten enthielten mehrere personenbezogene Daten (PII), darunter 75.000 Links zu ihren Amazon-Konten und -Profilen, PayPal-Kontodaten, 232.664 Gmail-Adressen und Benutzernamen, von denen viele echte Namen enthielten.

Da die Aktivität gegen die Nutzungsbedingungen von Amazon verstößt – und rechtswidrig ist – ist es unwahrscheinlich, dass eines der Opfer irgendeine Form von offiziellem Regress haben wird. Allerdings könnten einige von ihnen versehentlich dazu verleitet worden sein, an dem Betrug teilzunehmen, so SafetyDetectives.

“Obwohl viele Leute, die gefälschte Bewertungen abgeben, wahrscheinlich wissen, was sie tun, müssen wir auch darauf hinweisen, dass die Anbieter nicht damit werben, dass gefälschte Bewertungen illegal sind”, sagte das Team. “Unbescholtene Menschen können von Amazon-Verkäufern mit dem Angebot kostenloser Produkte im Gegenzug für eine Rezension angesprochen werden. Die Verkäufer verwenden eine “professionelle” Sprache, um das Angebot als legitimen Handel darzustellen, indem sie Formulierungen wie “Testen” und “kostenlose Produkttests” verwenden, wenn sie potenzielle Rezensenten anschreiben. Dies ist in der von uns entdeckten Datenbank mit Sicherheit der Fall.

“Ohne Kenntnis des Marketingrechts, der Amazon-Nutzungsbedingungen oder der breiteren Auswirkungen, die gefälschte Rezensionen haben können, denken manche Personen vielleicht gar nicht daran, mit einem Amazon-Verkäufer zusammenzuarbeiten, um eine gefälschte Rezension durchzuführen.

“Bei der Betrachtung derjenigen, die in diesen Verstoß verwickelt sind, und den Auswirkungen, die sie aufgrund dieser Aufdeckung haben könnten, sollten wir bedenken, dass einige dieser Rezensenten selbst in die Irre geführt wurden.”

Die betroffenen Verkäufer können auf verschiedene Weise sanktioniert werden, in der Regel durch die dauerhafte Kündigung ihres Amazon-Kontos und die Einbehaltung ausstehender Einnahmen durch Amazon. Die Rezensionen selbst werden von jeder Produktseite entfernt, die sie enthält, und das Produkt kann in Zukunft keine Rezensionen oder Bewertungen mehr erhalten.

Amazon behält sich außerdem das Recht vor, die beteiligten Verkäufer zu benennen und rechtliche Schritte gegen sie in Ländern einzuleiten, in denen die Bezahlung von Personen für das Hinterlassen gefälschter Bewertungen illegal ist. In den USA zum Beispiel sieht die Federal Trade Commission maximale Geldstrafen von über 10 Millionen Dollar für die Verwendung irreführender Marketingtaktiken vor.

Auch die einzelnen beteiligten Rezensenten können rechtlich belangt werden. In den USA können Bußgelder bis zu $10.000 betragen und einige wurden zu Gefängnisstrafen verurteilt. Wenn der Rezensent jedoch nachweisen kann, dass er getäuscht wurde, können die Strafen geringer ausfallen.

Der Besitzer des Servers würde, falls er identifiziert wird, natürlich Ermittlungen im Rahmen verschiedener gesetzlicher Regelungen, einschließlich der General Data Protection Regulation (GDPR), ausgesetzt sein.

Mehr über die SafetyDetectives-Untersuchung, einschließlich einer Anleitung, wie man gefälschte Bewertungen erkennt und die Offenlegung von Daten bei ähnlichen Verstößen verhindert, kann auf dem Offenlegungsblog der Firma gelesen werden.

Share

Leave a Reply

Your email address will not be published. Required fields are marked *