Esquema de avaliações falsas de produtos na Amazon envolveu mais de 200 mil pessoas

A equipe de segurança cibernética SafetyDetectives descobriu um banco de dados ElasticSearch aberto, expondo um esquema organizado de revisões falsas que afetava a gigante do comércio eletrônico Amazon. O servidor continha 7 GB de dados e incluía mensagens diretas entre fornecedores da Amazon e clientes dispostos a fornecer avaliações falsas em troca de produtos gratuitos.

No total, 13.124.962 desses registros foram expostos na violação, potencialmente implicando mais de 200.000 pessoas em atividades antiéticas. Embora não esteja claro quem é o proprietário do banco de dados, a SafetyDetectives afirma que a violação demonstra o funcionamento de um problema prevalente que afeta o setor de varejo online.

O servidor ElasticSearch aberto mostra mensagens que descrevem um procedimento comum pelo qual os fornecedores da Amazon obtêm “análises falsas” para seus produtos. Conforme explica a equipe de segurança em postagem de blog, esses fornecedores da Amazon enviam aos revisores uma lista de itens/produtos para os quais gostariam de receber uma revisão de 5 estrelas. As pessoas que fornecem as “críticas falsas” compram os produtos, deixando uma crítica de 5 estrelas na Amazon alguns dias após o recebimento da mercadoria.

Após a conclusão, o provedor da avaliação falsa envia uma mensagem ao fornecedor contendo um link para seu perfil na Amazon, juntamente com os detalhes do PayPal. Assim que o fornecedor da Amazon confirma que todas as revisões foram concluídas, o revisor recebe um reembolso por meio do PayPal, mantendo os itens comprados gratuitamente como forma de pagamento.

O reembolso é feito por meio de PayPal e não diretamente por meio da plataforma da Amazon, dificultando a identificação das avaliações falsas. Isso faz com que a avaliação de cinco estrelas pareça legítima, para não levantar suspeitas dos moderadores da Amazon, dizem os analistas.

“Empresas fraudulentas fornecem aos revisores critérios específicos a serem seguidos para evitar a detecção na Amazon. Esses critérios são projetados para apresentar as avaliações como legítimas. Nesse servidor ElasticSearch, os fornecedores pediram aos revisores que esperassem alguns dias antes de publicar uma revisão. Eles também solicitam revisões substanciais que são mais longas do que apenas algumas palavras e podem até delinear certos detalhes que devem ser incluídos na revisão”, dizem os analistas na publicação.

Embora não tenham encontrado nenhum exemplo no servidor exposto, a equipe de segurança avalia a possibilidade de pagamento adicional, com base na escala dos serviços prestados pela pessoa que postou avaliações falsas.

Essas mensagens continham vários exemplos de detalhes de contato dos fornecedores, como endereço de e-mail, números de telefone do WhatsApp e Telegram e detalhes de contato foram fornecidos aos provedores de avaliações falsas em potencial para continuar as comunicações fora dos serviços onde essas interações vazadas ocorreram.

As mensagens no ElasticSearch também continham outras formas de dados pessoais identificáveis direta e indiretamente, expondo os próprios revisores, como: 75 mil links para contas/perfis de revendedores da Amazon; detalhes da conta PayPal (endereços de e-mail); endereço de e-mail; e “nomes de fãs” – supostamente nomes de usuário, geralmente contendo nomes e sobrenomes.

De acordo com os analistas, esses detalhes podem ser usados ​​para identificar indiretamente os indivíduos, embora muitos deles contenham nomes completos e sobrenomes.

Os endereços do Gmail dos revisores também foram fornecidos aos fornecedores diretamente por mensagem. No total, 232.664 Gmails foram expostos no servidor, embora alguns dos endereços de e-mail fossem duplicados. Quando levado em consideração a presença de outros tipos de contas de e-mail, como Outlook, a enormidade dessa violação torna-se aparente, dizem os analistas.

A equipe de segurança afirma que o servidor parecia estar localizado na China. Acredita-se também que o vazamento afetou, no mínimo, cidadãos da Europa e dos Estados Unidos, no entanto, o vazamento pode ter afetado pessoas de todos os cantos do mundo.

A violação foi descoberta em 1º de março de 2021. Os analistas monitoraram o status do servidor ElasticSearch aberto nos dias seguintes e, em 6 de março de 2021, o banco de dados não reclamado foi protegido. Não foi possível notificar a empresa em questão sobre esse problema de segurança. No entanto, eles afirmam que o servidor foi protegido alguns dias depois, tornando-o inacessível para terceiros.

“O servidor pode pertencer a um terceiro que chega a revisores em potencial em nome dos fornecedores. Terceiros podem postar uma foto do produto em um grupo do Facebook ou WeChat, pedindo avaliações em troca de produtos gratuitos. (…) O servidor também pode pertencer a uma grande empresa com várias subsidiárias, o que explicaria a presença de vários fornecedores”, diz a publicação. “O que está claro é que o proprietário do servidor pode estar sujeito a punições das leis de proteção ao consumidor, e quem está pagando por essas avaliações falsas pode enfrentar sanções por violar os termos de serviço da Amazon”.

O relato de tais incidentes pode fornecer suporte crucial para os mercados que tentam conter o problema. Os analistas da SafetyDetectives apontam como identificar uma crítica falsa on-line:

• Seja cético em relação a críticas extremas. O produto “perfeito” raramente existe. Se um produto tem uma tonelada de críticas excessivamente positivas (especialmente quando comparado a produtos semelhantes), você deve questionar a legitimidade dessas análises. Você também deve tomar cuidado com avaliações que sejam 100% positivas ou 100% negativas.
• Procure por linguagem suspeita. As resenhas falsas costumam usar uma linguagem menos emocional e podem ser difíceis de ler. Uma crítica falsa pode até parecer um anúncio, falando mal dos concorrentes do produto no processo.
• Procure declarações genéricas sobre o produto. Vários dos comentários de cinco estrelas podem destacar os mesmos pontos positivos, ou os comentários podem geralmente não ter variação – não revelando nada sobre a experiência específica de cada indivíduo. As resenhas falsas também podem conter muitas palavras-chave genéricas ou fazer referência ao nome da marca várias vezes.
• Avaliações falsas podem ser mais curtas. Se um comentário tiver apenas algumas palavras, o revisor pode estar tentando afetar a avaliação com estrelas do produto o mais rápido possível.
• Seja extremamente vigilante ao comprar de marcas desconhecidas. Muitas vezes, as primeiras empresas tentam elevar seu status com avaliações falsas. Verifique as avaliações de seus produtos em outros sites antes de comprar e certifique-se de que eles tenham detalhes de contato legítimos, caso algo dê errado.
• As avaliações são relevantes? ‘Mesclagem de avaliações’ é prática comum para fornecedores culpados, que republicam revisões de outros produtos em seus próprios. Avaliações falsas também podem conter outros exemplos de informações falsas. Certifique-se de que qualquer feedback faça sentido para o produto que supostamente está revisando.
• Compare as avaliações cinco estrelas com as ruins. Avaliações ruins podem consistentemente destacar problemas que as avaliações cinco estrelas falsas não reconhecem. Avaliações falsas podem até dizer que essa característica do produto é positiva.
• Verifique a conta do revisor. Se eles deixaram comentários positivos sobre vários produtos do mesmo fornecedor, eles podem ser falsos. O mesmo pode ser dito se eles estão deixando comentários negativos. Se sua conta não tiver informações pessoais e seus hábitos de compra forem aleatórios, esse é outro sinal de um revisor falso.
• Verifique se há padrões. Uma crítica negativa pode ser seguida por um grupo de críticas falsas de cinco estrelas. Além disso, algumas das avaliações podem parecer semelhantes, ou um revisor falso pode postar avaliações semelhantes em vários produtos.
• Verifique as datas das avaliações. Se as avaliações de cinco estrelas de um produto foram postadas antes de o produto ser listado, ou em um curto espaço de tempo, elas podem ser falsas.
• Use software. Existem muitas boas ferramentas on-line que analisam as avaliações de um produto e dizem se elas parecem falsas. Use-os!