2018年9月亚马逊员工受贿行为，大量客户数据泄露第三者，最近SafetyDetectives网络安全队发表了亚马逊卖方圈大爆炸的评价数据库泄露的调查报告书。本次调查报告内容如下:

　　SafetyDetectives网络安全团队发现了开放的ElasticSearch服务器，该服务器暴露了组织有计划的虚假评论欺诈(即刷子评价)。

　　该服务器保存了亚马逊卖方和愿意提供虚假评论交换免费产品的消费者之间的交易信息，共有13、124、962条信息(数据包达到7GB)。据不完全统计，在这次数据库泄露事件中，涉及的买卖双方的人数在20万人之间。

　　根据服务器内曝光的数据，相关亚马逊卖方向评价员发送想要得到五星级评价的产品清单。提供所谓评价的人，然后在卖方的店里购买这些产品，收到商品几天后给卖方留下满分评论。

　　评价结束后，评价员将向合作卖方发送包括亚马逊个人资料链接和PayPal(收款账户)等信息。卖方确认所有评论都完成后，评价员会通过PayPal退款，得到的商品是评价报酬。

　　曝光数据的信息类型:

　　卖方:卖方:

　　1.邮箱地址。

　　2.Whatsapp和电报手机号码。

　　买方(也是这次数据泄露事件最致命的地方)

　　1.75000个亚马逊买家账户。

　　2、Paypal详情(注册邮箱地址)。

　　3.个人通信邮箱地址。

　　4.Fanname-用户名。

　　5.232664Gmail邮箱地址。

　　6.服务器地址指向中国(但影响范围广的不仅仅是中国)

　　7.公司地址指向中国。

　　事件的潜在处罚措施:

　　(1)亚马逊可能采取法律措施应对这些变相购买虚假评论的公司。

　　(二)美国FederalTradeComission联邦贸易委员会采取法律措施对这些卖方罚款最多1000万美元。

　　(3)如果其他国家的个人受到影响，其他司法管辖区也可以进行调查。对美国市民造成的任何损害都可能涉及FTC，这笔交易可以对企业处以最高1亿美元的罚款，而欧洲市民则受到GDPR的保护。如果欧洲公民的数据处理不当，可能会向数据库业主收取约2000万欧元(或公司收入的4%)的罚款。

　　评价员:

　　所谓评价员可能受到法律处罚。如果评价员被误解，惩罚力将大大减轻。但是，如果个人名义上有数千个虚假评论的欺诈性评价员，或者面对超过1万美元的罚款，有可能被判处监禁。

　　另外，亚马逊重点审查的违反评价的卖方，发现评价员的亚马逊账户也有可能中止。

　　最后:最后:

　　这次数据泄露给很多人带来了财产损失，暂时不知道是否有黑客泄露了数据。黑客访问该服务器时，评价员和亚马逊店铺的邮件地址、姓名和姓氏等信息可能会被非法黑客用于欺诈、钓鱼攻击、欺诈、恐吓。

　　如果真正的黑客被盗，黑客可能会向目标受害者发送目标邮件，利用个人数据直接与受害者对话，目的是接近下一步的利益。

　　黑客利用信息，冒充paypal的工作人员，从中获得密码，获得更多的欺诈有效信息(交易记录等)进行敲诈，黑客掌握受害者的数据后敲诈，在敲诈条件下向个人或亚马逊的卖方索取巨额资金。大家一定要擦眼睛，不要被非法者乘机。

标签：