Grupo de cibersegurança encontrou mais de 13 milhões de registros em servidor; vendedor oferecia o produto gratuito em troca de avaliações
O grupo encontrou um servidor dentro do banco de dados ElasticSearch. No servidor, foram encontradas mensagens entre fornecedores e clientes que estavam dispostos a fazer avaliações falsas em troca de produtos gratuitos, além de informações como endereço de e-mail e números de telefone de ambos.
O site afirma que mais de 232.664 contas de e-mail foram expostas pelo servidor, mas algumas eram duplicadas. Ao todo, havia 13.124.962 registros no sevidor, o equivalente a 7 gigabytes de dados. A equipe do Safety acredita que mais de 200.000 usuários podem estar envolvidos.
Como funciona o golpe?
Quem vende o produto envia uma lista com os itens que devem receber uma avaliação de 5 estrelas para a pessoa disposta a fornecer a crítica falsa. Quem aceita participar do esquema compra o produto e deixa a avaliação positiva alguns dias depois, após receber o item.
Depois, o provedor da avaliação falsa envia uma mensagem ao fornecedor com um link para seu perfil na Amazon e detalhes da sua conta no PayPal, aplicativo de pagamentos online. A equipe encontrou mais de 75.000 links para perfis da Amazon no servidor.
Assim que tudo é confirmado, quem fez a avaliação recebe um reembolso e continua com os itens comprados como forma de pagamento. “Como o reembolso é através do PayPal, e não pela plataforma da Amazon, a avaliação aparenta ser legítima e não levanta suspeitas dos moderadores da Amazon”, explica a equipe do Safety em publicação.
Quem está por trás?
Por enquanto, a única coisa que se sabe é que o servidor está localizado na China. Não se sabe se quem está por trás do servidor são os próprios fornecedores da Amazon que executam o golpe ou uma empresa com várias subsidiárias, o que explicaria a presença de vários fornecedores.
O Safety também alerta que, apesar de existirem usuários cientes do golpe, os fornecedores também enganavam alguns clientes ao se apresentar como um comércio legítimo. Com uma “linguagem profissional”, os vendedores ofereciam uma “avaliação gratuita” do produto e os usuários, sem conhecimento de que era uma atividade ilegal, colaboravam com o golpe.
De acordo com os termos de serviço da Amazon, a gigante do comércio eletrônico tem direito de entrar com uma ação judicial com a empresa envolvida, caso haja uma.