{# #} {# #}
El servidor contenía un tesoro de mensajes directos entre vendedores de Amazon y clientes dispuestos a proporcionar comentarios falsos a cambio de productos gratuitos. En total, 13.124.962 de estos registros (o 7 GB de datos) quedaron expuestos en la filtración, implicando potencialmente a más de 200.000 personas en actividades poco éticas.
Aunque no está claro quién es el propietario de la base de datos, la filtración demuestra el funcionamiento interno de un problema frecuente que afecta al sector minorista en línea.
La información encontrada en el servidor abierto de ElasticSearch describe un procedimiento común por el cual los vendedores de Amazon consiguen "comentarios falsos" para sus productos.
Las personas que proporcionan los comentarios falsos compran los productos y dejan un comentarios de 5 estrellas en Amazon unos días después de recibir la mercancía.
Una vez finalizada la compra, el proveedor del comentario falso enviará un mensaje al vendedor con un enlace a su perfil de Amazon, junto con sus datos de PayPal.
Una vez que el vendedor de Amazon confirme que se han completado todas los comentarios, el comentarista recibirá un reembolso a través de PayPal, conservando los artículos que compró de forma gratuita como forma de pago.
El reembolso de los artículos comprados se realiza a través de PayPal y no directamente a través de la plataforma de Amazon. Esto hace que el comentario de cinco estrellas parezca legítimo, para no levantar sospechas de los moderadores de Amazon.
¿Qué se filtró?
Más de 13 millones de registros, que equivalen a 7 GB de datos, quedaron expuestos cuando el servidor de ElasticSearch no reclamado se dejó abierto sin ninguna protección por contraseña ni cifrado. En los mensajes filtrados en la base de datos podían encontrarse los datos personales de las personas que proporcionaban comentarios falsos, así como de los vendedores de Amazon.
Datos relacionados con los revisores
Los mensajes en el servidor de ElasticSearch también contenían otras formas de datos personales directa e indirectamente identificables que exponían a los propios comentaristas, tales como
Los datos filtrados de las cuentas de PayPal y los "nombres de los fans" describen las direcciones de correo electrónico y lo que parecen ser los nombres de usuario de las personas que proporcionan comentarios falsos. Estos detalles podrían utilizarse para identificar indirectamente a las personas, mientras que muchos de ellos contenían nombres y apellidos completos.
Las direcciones de Gmail de los comentaristas también se proporcionaron a los vendedores directamente a través de mensajes. En total, se han expuesto 232.664 direcciones de Gmail en el servidor, aunque algunas de las direcciones de correo electrónico estaban duplicadas.
La cifra de "Gmail" abarca sólo a las personas que utilizan Google como proveedor de correo. Cuando se tiene en cuenta la presencia de otros tipos de cuentas de correo electrónico, como Outlook, la enormidad de esta filtración se hace evidente. También se filtraron 75.000 cuentas de Amazon, aunque potencialmente hay varios duplicados incluidos en esta cifra. Junto con los vendedores de Amazon comprometidos a través de sus datos de contacto, es razonable estimar que alrededor de 200.000-250.000 personas se vieron afectadas por esta brecha.
El servidor parecía estar ubicado en China, y se cree que la filtración afectó a ciudadanos de Europa y Estados Unidos (como mínimo). En realidad, la filtración podría haber afectado a personas de todos los rincones del mundo.
El equipo de ciberseguridad de SafetyDetectives descubrió la brecha el 1 de marzo de 2021
Castigos para los comentarios falsos
Sanciones a las empresas
Las empresas o los vendedores individuales que sean descubiertos comprando comentarios falsos para sus productos podrían enfrentarse a varias penas y sanciones por este tipo de transgresión.
En primer lugar, los vendedores de Amazon han infringido las condiciones de servicio de Amazon al comprar comentarios falsos.
Amazon puede imponer una serie de sanciones a los culpables. Las cuentas de los vendedores pueden ser canceladas permanentemente, y los vendedores pueden perder sus privilegios de venta con un efecto inmediato. Amazon retendrá todas las ganancias de las transacciones pendientes, es decir, cuando los productos se hayan vendido, pero el vendedor no haya cobrado aún las ganancias.
Se eliminarán los comentarios de cualquier página del producto, y ese producto no podrá recibir comentarios ni valoraciones en el futuro. Los productos pueden incluso ser retirados de la lista del sitio por completo.
Amazon se reserva el derecho de revelar públicamente el nombre del vendedor (y cualquier otra información relacionada). Un ejercicio que pone de manifiesto las malas acciones de la empresa fraudulenta para advertir a quienes puedan haberse visto afectados, al tiempo que causa un daño de reputación al negocio en cuestión.
Las condiciones de servicio de Amazon indican que la empresa puede optar por emprender acciones legales contra el negocio implicado.
Castigos individuales
La infracción también significa que las personas expuestas como "vendedores de comentarios falsos" pueden ser objeto de un castigo legal. El hecho de que los individuos sean declarados culpables o no de vender comentarios supondría una gran diferencia en las consecuencias a las que podrían enfrentarse. Si se descubre que los autores de los comentarios han sido "engañados", las penas podrían reducirse enormemente y los individuos podrían recibir sólo una leve sanción.
Los comentaristas fraudulentos con miles de comentarios falsos a su nombre pueden pagar sanciones de más de 10.000 dólares, e incluso podrían recibir una condena de cárcel. La severidad de estos castigos dependerá de la jurisdicción que controle la investigación.
Impacto
Todas las jurisdicciones implicadas en estos casos no están claras hasta que conozcamos la ciudadanía de las personas a las que se les han filtrado sus datos. El propietario fraudulento del servidor parece tener su sede en China. Una infracción grave de las leyes de protección de datos en ese país podría acarrear al propietario multas de hasta 7,6 millones de dólares (o el 5% de la facturación de la empresa del año anterior).
Si los individuos de otras naciones se ven afectados, otras jurisdicciones también podrían llevar a cabo investigaciones. Cualquier daño a los ciudadanos estadounidenses podría implicar a la FTC, que puede multar a las empresas con hasta 100 millones de dólares, mientras que los ciudadanos europeos están protegidos por el GDPR. Si los datos de los ciudadanos europeos se manejan mal, podría cobrarse una multa de unos 20 millones de euros (o el 4% de los ingresos de una empresa) al propietario de la base de datos.
La violación de los datos, junto con cualquier otro delito, causará un daño a la reputación de las empresas vinculadas a este suceso. Los futuros clientes pueden optar por evitar las empresas implicadas en demandas, actividades ilegales o malas prácticas de protección de datos.
La información personal de cientos de miles de personas puede encontrarse en la base de datos, y esto pone a esas personas en el camino de los hackers y los ciberdelincuentes.
Cómo detectar los comentarios falsos en línea
Los comentarios falsos en línea engañan a los clientes y obligan a los compradores a tomar decisiones de compra que de otro modo no harían. Las opiniones falsas niegan a los compradores potenciales una evaluación justa y honesta de los productos en beneficio del vendedor implicado. En última instancia, los compradores pueden quedar decepcionados con el producto o sentirse engañados por las reseñas que han leído.
Estos incidentes no sólo violan las condiciones de servicio de miles de mercados en línea, sino que también infringen la ley en varios países como violación de la "protección del consumidor".
Los falsos comentaristas venden sus servicios a las empresas, ya sea a cambio de productos gratuitos o en forma de "paquetes" en los que los vendedores pueden comprar comentarios falsos al por mayor. Estos paquetes pueden contener hasta 1.000 comentarios por un precio que ronda los 11.000 dólares.
Los grandes mercados en línea no logran contener el problema y, al hacerlo, no garantizan la seguridad de sus clientes. Sitios como Amazon se enfrentan a una lucha para contener un problema que ya está extendido, y hay que hacer más para acabar con una próspera economía del engaño.
A continuación te explicamos cómo puedes detectar un comentario falso en Internet:
Desconfiar de los comentarios extremos. El producto "perfecto" rara vez existe. Si un producto tiene un montón de comentarios excesivamente positivos (especialmente cuando se compara con productos similares), deberías cuestionar la legitimidad de esas opiniones. También hay que estar atento a los comentarios que son 100% positivas o 100% negativas.
Lenguaje sospechoso. Los comentarios falsos suelen utilizar un lenguaje menos emotivo y pueden ser difíciles de leer. Un comentario falso puede incluso parecer un anuncio, hablando mal de los competidores del producto en el proceso.
Buscar declaraciones genéricas sobre el producto. Varias de las opiniones de cinco estrellas pueden destacar los mismos puntos positivos, o las opiniones podrían carecer de variedad en general, sin revelar nada sobre la experiencia específica de cada persona. Las opiniones falsas también pueden contener muchas palabras clave genéricas o hacer referencia al nombre de la marca varias veces.
Las opiniones falsas pueden ser más cortas. Si una reseña es de pocas palabras, es posible que el autor esté tratando de influir en la calificación de estrellas del producto lo antes posible.
Precaución cuando compre en marcas desconocidas. Las empresas emergentes a menudo intentan elevar su estatus con opiniones falsas. Comprobar si hay comentarios de sus productos en otros sitios antes de comprar, y asegurarse de que tienen datos de contacto legítimos en caso de que algo vaya mal.
Comprueba si hay información irrelevante. La "fusión de comentarios" es una práctica habitual de los vendedores culpables, que vuelven a publicar opiniones de otros productos en el suyo propio. Las opiniones falsas también pueden contener otros ejemplos de información falsa. Asegúrate de que los comentarios tienen sentido para el producto que supuestamente se comenta.
Cruza las reseñas de cinco estrellas con las malas. Las malas opiniones pueden resaltar sistemáticamente problemas que las reseñas falsas de cinco estrellas no reconocen. Los comentarios falsos pueden incluso decir que esta característica del producto es positiva.
Comprobar la cuenta del usuario. Si ha dejado comentarios positivas sobre un montón de productos del mismo vendedor, podrían ser falsas, y lo mismo puede decirse si está dejando opiniones negativas. Si su cuenta carece de información personal y sus hábitos de compra son aleatorios, es otra señal de que se trata de un comentarista falso.
Busca patrones. Una opinión negativa puede ir seguida de un grupo de opiniones falsas de cinco estrellas. Además, algunas de las opiniones pueden sonar similares, o un crítico falso puede publicar opiniones similares sobre varios productos.
Comprueba las fechas de las opiniones o comentarios. Si las opiniones de cinco estrellas de un producto se han publicado antes de que el producto apareciera en la lista, o en un periodo de tiempo corto, podrían ser falsas.
Utiliza programas informáticos. Hay un montón de buenas herramientas online que analizan las opiniones de un producto y te dicen si parecen falsas. Utilízalas.