Un faux avis sur Amazon révélé par une violation de données à fort potentiel
Aujourd’hui, la plupart d’entre nous se doutent probablement de l’existence de faux avis sur les sites d’achat en ligne. En effet, qu’il s’agisse d’une offre d’essai gratuit d’un produit après l’avoir acheté ou d’un avis qui donne l’impression que le produit est un peu trop beau pour être vrai, il est facile de supposer que les faux avis sont une chose qui arrive. Mais aujourd’hui, une nouvelle faille de sécurité nous donne une meilleure idée de l’ampleur du phénomène.
En début d’année, des employés de SafetyDetectives ont découvert une base de données ElasticSearch ouverte qui contenait ce qu’ils appellent un “trésor” de messages entre des vendeurs et des clients d’Amazon concernant de faux avis.
Les fournisseurs en question offraient généralement des produits gratuits en échange d’évaluations positives. Selon SafetyDetectives, jusqu’à 200 000 personnes sont concernées par cette violation de données.
Plus de 13 millions d’enregistrements comprenant 7 Go de données ont été révélés par ce serveur ElasticSearch, lequel a été fermé et sécurisé plusieurs jours après sa découverte par SafetyDetectives début mars. SafetyDetectives indique qu’il n’a pas été en mesure d’identifier le propriétaire de ce serveur, ce qui ne permet pas d’alerter que le serveur était grand ouvert. Il est clair, toutefois, que le serveur contenait des communications entre plusieurs fournisseurs et clients différents – et non un seul fournisseur.
Parmi les informations qui ont été divulguées figurent des adresses électroniques ainsi que des numéros de téléphone WhatsApp et Telegram appartenant aux fournisseurs. Les informations sur les clients qui ont été divulguées comprenaient 75 000 liens de profils et de comptes Amazon de ceux qui vendaient des avis, ainsi que des adresses électroniques PayPal, et des noms de “fans” qui pouvaient inclure les noms et prénoms des utilisateurs.
Au contraire de la communication via Amazon, des vendeurs et évaluateurs des faux avis communiquaient souvent via d’autres applications de messagerie. Les vendeurs d’avis, semble-t-il, étaient souvent invités à acheter le produit sur Amazon et à attendre quelques jours avant de publier un avis positif à son sujet, avec souvent des instructions du vendeur sur ce qu’il fallait dire et comment rendre l’avis crédible.
Ensuite, on leur promettait un remboursement du prix d’achat de l’article – souvent via PayPal pour éviter d’utiliser les systèmes d’Amazon – et ils étaient autorisés à garder l’article en échange de leur avis positif.
Il est clair que cette affaire a des conséquences importantes pour les vendeurs et les utilisateurs d’Amazon qui participaient à de fausses évaluations, puisque les comptes des uns et des autres pourraient être supprimés et des amendes pourraient être infligées en fonction de l’endroit où se trouvent ces vendeurs et évaluateurs dans le monde.
Si vous disposez d’un moment, lisez le rapport complet de SafetyDetectives sur cette violation de données, car il contient de nombreuses informations utiles, notamment des conseils sur la façon de repérer les faux avis sur Amazon.
