amazonの偽レビュー組織が20万件以上の個人情報を含む


セキュリティ製品のレビューサイトであるSafetyDetevtivesが、Amazonで偽レビューを行う組織のデータベースを発見したと発表しました。このデータベースは、偽レビューを依頼する販売業者とその顧客のやり取りを含んでおり、20万人以上のメールアドレスやPayPalアカウントなども記載されています。

Amazon Fake Reviews Scam Exposed in Data Breach
https://www.safetydetectives.com/blog/amazon-reviews-leak-report/

問題のデータベースは、分散型検索エンジンのElasticSearchの中国サーバーで発見されました。データベースは7GB相当となる1300万件のやり取りが記録されており、パスワードもなく暗号化もされないままにオンライン公開されていたそうです。

データベースには販売業者からレビュー担当者のGmailアドレスが23万2664件、他にもWhatsAppやTelegramの番号などといった連絡先の詳細も含まれていました。また、レビューを担当したAmazonアカウントへのリンク7万5000件やユーザー名、PayPalアカウントなどの個人情報も記録されていたそうです。

基本的に販売業者とレビュー担当者のやり取りは中国語で行われており、データベースの所有者である企業も中国にあると考えられています。SafetyDetevtivesは2021年3月1日にデータベースの漏えいを発見したものの、所有者を特定できず、データベースの漏えいを通知することができなかったため、3月6日にElasticSearchに通知してデータベースを保護し、外部からのアクセスを遮断したとのこと。
SafetyDetevtivesによれば、販売業者はレビューで5つ星をつけてもらう予定の商品をリストアップし、レビュー担当者に送信しており、レビュー担当者は商品を購入してから数日後に5つ星レビューをAmazonに投稿していました。購入からレビューまで数日間を挟むのは、Amazonのモデレーターから偽レビューであることを検出されないための回避策であると、SafetyDetevtivesは指摘しています。
そして、5つ星レビューが投稿されたことを確認すると、販売業者はレビュー担当者にPayPalを通じて商品代金を払い戻すという流れ。払い戻しのプロセスはAmazonのプラットフォームを介さないことで、Amazonのモデレーターから疑われないように5つ星レビューを依頼することができるというわけです。
もちろん偽レビューはAmazonの利用規約に違反しており、Amazonは販売業者のアカウントをすべて取り消し、商品ページはすべて削除され、販売収益のうち未回収分はすべてAmazon側が回収することとなります。さらにAmazonは、偽レビューを依頼した販売業者に対して訴訟を起こすこともあると利用規約で定めています。加えて、偽レビューを行っているレビュー担当者も、規模と地域によっては罰金や懲役刑を科される可能性もあるとのこと。
Amazonは、レビュー操作への取り締まりは極めて鉄腕的であり、今回の偽レビューを行う組織のデータベース漏えいにより、おそらく7.5万個も超えるAmazonセラーアカウントが閉鎖される恐れがある。Amazon越境ビジネスが盛んでいる都市—-中国深セイ、すでに何社のビックセラーのアカウントが閉鎖されたという噂が裏で広がっています。