刷单数据被泄露，7.5万亚马逊卖家面临账号被关！

在2018年9月的时候亚马逊员工受贿行为，导致大量客户数据泄露第三方，近日，Safety Detectives网安团队公布了一则消息引发亚马逊卖家圈“大爆炸”的刷评数据库泄露的相关调查报告。此次调查报告内容提要如下：

SafetyDetectives网络安全团队发现了一个开放的ElasticSearch服务器，这一服务器“揭发”了一场有组织有预谋的虚假评论骗局（即刷评）。

该服务器里保存着亚马逊卖家和愿意提供虚假评论以换取免费产品的消费者之间的往来信息，涉及信息总共有13,124,962条（数据包达7GB）。而据不完全统计，在此次数据库泄露事件中，牵扯的买卖双方人数或将在20万之间。

根据服务器内曝光的数据显示，相关的亚马逊卖家会向“评测员”发送一份他们希望得到五星评论的产品清单。提供所谓“测评”的人随后会在卖家店铺中购买这些产品，并在收到商品几天后给卖家留满分评论。

待留评完成后，“评测员”将给“合作卖家”发送包括他们在亚马逊的个人资料链接以及他们的PayPal（收款账户）等信息。一旦卖家确认所有评论都已完成，“评测员”将通过PayPal收到退款，而到手的商品则是“评测报酬”。

被曝光数据的信息类型：

卖家方面：

1.邮箱地址。

2.Whatsapp和电报手机号。

买手方面（也是本次数据泄露事件最致命的地方）：

1.75000个亚马逊买家账号。

2.Paypal的详细信息 （注册邮箱地址）。

3.个人通信邮箱地址。

4.Fan name-用户名。

5.232664个Gmail邮箱地址。

6.服务器地址 指向中国（但所造成的影响范围之广绝不仅有中国。）

7.公司地址 指向中国。

事件潜在的惩罚措施：

（一）亚马逊有可能会采取法律措施应对这些变相购买虚假评论的公司。

（二）美国 Federal Trade Commission联邦贸易委员会，会采取法律措施对这些卖家采取最多1000万美金的罚款。

（三）如果其他国家的个人受到影响，其他司法管辖区也可以进行调查。对美国公民造成的任何损害都可能涉及FTC，该交易可对企业处以最高1亿美元的罚款，而欧洲公民则受到GDPR的保护。如果欧洲公民的数据处理不当，则可能向数据库所有者收取约2000万欧元（或公司收入的4％）的罚款。

测评人员:

所谓的“测评人员”都会可能收到法律惩罚。如果“评测员”是被“误导”的，惩罚力度就会大大减轻。但如果个人名下有数千条虚假评论的欺诈性“评测员”或将面临超1万美元的罚款，甚至可能被判处监禁。

另外虽然亚马逊重点审查的违规求评的卖家，但一经发现“测评员”的亚马逊账户也会可能被终止使用。

尾声：

这一次的数据泄露对不少人造成财产损失，暂时不知道是否有黑客导致数据泄露，如果黑客访问了该服务器，“评测员”和亚马逊店铺的电子邮件地址、名字和姓氏等信息就可能会被非法黑客用来进行诈骗、网络钓鱼攻击、欺诈，甚至勒索。

如果是真的黑客盗入，黑客可能会向目标受害者发送一封有针对性的电子邮件，利用个人数据直接与受害者对话，目的为了下一步的能接近提取利益。

黑客还可能会利用信息，冒充paypal的工作人员，从中获取密码，收取更多的诈骗有效信息（如交易记录），进行敲诈，一旦黑客掌握到受害者的数据会进行敲诈，以勒索条件向个人或者亚马逊卖家索要巨额资金。各位一定要擦亮眼睛，不要被不法分子乘机而入。