Des chercheurs révèlent un réseau de faux avis sur Amazon impliquant plus de 200 000 comptes
Le 11 mai 2021 à 07h22
3 min
Internet
Internet
En fin de semaine dernière, les chercheurs de Safety Détective ont publié un rapport détonnant : ils sont « tombés » sur un serveur Elastic Search (AWS) ouvert aux quatre vents, contenant 7 Go d’informations sur ce qui semble être un réseau très organisé de faux avis sur Amazon.
13 millions d’enregistrements, appartenant à 200 000 à 250 000 comptes, contenaient ainsi des noms d’utilisateurs, adresses emails, comptes PayPal, liens vers des profils Amazon ou encore des numéros à contacter via WhatsApp ou Telegram.
Les chercheurs ont également trouvé des messages directs impliquant des négociations entre des clients et des commerçants prêts à les payer pour de faux avis. Des messages chinois ont en outre été découverts, suggérant une possible origine du réseau.
L’origine du serveur est cependant inconnue, et la fenêtre a été rapidement refermée. Les chercheurs ont trouvé la base le 1er mars, et l’accès était clos le 6.
Toujours selon les chercheurs, il est complexe pour Amazon de détecter qu’une source n’est pas fiable. Les tactiques découvertes impliquent par exemple un contact direct entre client et commerçant, ce dernier lui indiquant sur quel produit il souhaite une note maximale. Le client l’achète, donne les cinq étoiles quelques jours plus tard puis avertit le commerçant.
Ce dernier peut alors effectuer un remboursement par PayPal, le client gardant le produit, bien sûr offert pour l’occasion. Amazon ne contrôlant pas la chaîne du remboursement, il ne reste qu’un client ayant acheté le produit et publiant un avis ayant toutes les apparences de la légitimité.
« Nous avons des politiques claires, pour les évaluateurs et partenaires de vente, qui interdisent l'abus de nos fonctionnalités communautaires, et nous suspendons, bannissons et prenons des mesures juridiques contre ceux qui violent ces politiques » a réagi Amazon auprès de ZDnet. Mais en dépit de règles strictes, la découverte de Safety Détectives montre toute la difficulté de la lutte.
Le 11 mai 2021 à 07h22
Commentaires (35)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/05/2021 à 07h38
Quelques minutes de recherche sur les réseaux sociaux permettent également de se rendre compte de l’ampleur du phénomène… De nombreux vendeurs chinois proposent leurs produits en échange d’un avis…
Le 11/05/2021 à 07h46
C’est une pratique courante. On m’a déjà proposé de faire ça.
Et pas plus tard que hier, après avoir mis 5 étoiles sur un produit chez un commerçant, il m’a proposé 15€ si je mettais le même commentaire sur Google.
Le 11/05/2021 à 08h20
Regardez Aliexpress, avec les commentaires de français bourrés de fautes et plusieurs fois sans aucun sens (on sent la traduction littérale foireuse).
Après c’est comme tout, faut être vigilant même si c’est compliqué…
Le 11/05/2021 à 08h28
Et il est où le lien vers ce commentaire poster sur Google ?!
Le 11/05/2021 à 11h46
Je ne l’ai pas encore fait, mais effectivement, j’hésite ^^
Le 11/05/2021 à 08h29
C’est moi ou bien l’illustration de l’article, c’est un montage avec la trombine du lead de Ultra Vomit ?
Le 11/05/2021 à 08h57
Absolument pas étonné et c’est une pratique courante malheureusement.
Le 11/05/2021 à 09h19
Bien pour cela que je ne regarde JAMAIS les avis positifs sur un produit, mais seulement les avis négatifs. Ce sont ceux-là qui sont vraiment représentatifs d’un produit.
Le 11/05/2021 à 09h20
Alors non parce que même s’il est un peu moins répandu, il existe aussi le phénomène inverse, les faux commentaires négatifs pour faire chier le concurrent.
Le 11/05/2021 à 09h22
Oui mais on s’en rend vite compte du commentaire négatif “pour faire chier” de celui qui a vraiment utilisé le produit.
Le 11/05/2021 à 09h38
Et à l’inverse, il y a des faux commentaires au français impeccable (tout simplement parce qu’ils ont leur commentaire 5* “type” qu’ils ont bien peaufiné et copient/collent dans tous les sens.
Un commentaire avec 1⁄2 fautes de frappes ou un petit souci d’accord, là on a de l’authentique.
Mais bon ça reste hyper dur à distinguer… perso je favorise aussi les avis plus mitigés (entre 2 et 4 étoiles) et je go faire un tour sur https://reviewmeta.com/ .
Autrement j’acknoledge le fait d’acheter de la camelote pas chère et à ce compte là je fonce direct sur Aliexpress, quitte à acheter du caca où les avis ne valent rien, autant aller à la source.
Le 11/05/2021 à 09h45
Paradoxalement souvent on a de la meilleure qualité pour moins cher. Constaté sur pas mal de produits qu’avant j’achetais chez Amazon, notamment de la pièce détachée pour smartphone. Il suffit de prendre un vendeur qui a pignon sur rue.
Le 11/05/2021 à 09h50
* acknowledge il fallait lire, bien sûr.
Désolé je peux plus éditer, et la faute de frappe me pique trop les yeux moi-même pour que je me la laisse passer…
Le 11/05/2021 à 10h28
Et écrire en français, c’est possible aussi ? Le verbe reconnaître (voire assumer) pourrait convenir et la seule difficulté est le double n ou l’accent circonflexe sur le i.
Le 11/05/2021 à 11h18
Essaye wish tu seras encore moins déçu des commentaires.
Le 11/05/2021 à 13h39
Je suis pas sûr qu’il faille dénigrer le made in china. Entre la sous-traitance et la montée en puissance de certaines entreprises, et je pense aux acteurs de la téléphonie mobile, ils font de la qualité maintenant.
Après y’a aussi beaucoup de ça, comme partout.
Le 11/05/2021 à 09h19
Il suffit de lire le français approximatif de certains commentaires pour s’en convaincre : phrases à la structure douteuse qui n’ont parfois aucun sens (même quelqu’un n’ayant aucune orthographe n’aurait pas structuré sa phrase comme ça) et tu comprends vite que la personne qui l’a écrite n’est pas francophone.
Sur Amazon, j’ai acheté une pièce détachée pour réparer mon tel, dans le colis, il y avait un “bon d’achat” de 20 euros si je mettais un commentaire à 5 étoiles pour une pièce à 30 euros. Et après utilisation, j’ai bien compris que la pièce ne valait pas ses 30 euros car elle est vraiment de qualité médiocre…
Bref, on s’en doutait un peu, encore et toujours de la triche. Dois t-on être étonné ?
Le 11/05/2021 à 10h43
Es-ce que les chercheurs ont pu télécharger les données de ce mystérieux serveur??
Le 11/05/2021 à 10h49
C’est moi où c’est souvent les serveur Elastic Search qui se font avoir en ce moment ?
Le 11/05/2021 à 11h37
Ça change des bases de données MongoDB..
Le 11/05/2021 à 11h43
Sur un AWS open bar, un Elastic Search open bar. Soit les admins étaient de vrais tocards, soit c’est intentionnel.
Mais c’est pas le produit qui est en cause là.
Le 11/05/2021 à 11h50
Un « coup de bol » pour les chercheurs d’être tombés sur un serveur ouvert. Combien d’autres usines à faux commentaires font un peu plus attention de ne pas laisser leurs bases en libre accès ?
Quand je laisse un commentaire sur un produit, j’essaye de prendre une photo pour « prouver » que je l’ai bien reçu, mais comme mon commentaire est potentiellement une goutte d’eau dans un océan de faux, difficile de lutter…
Le 11/05/2021 à 14h02
Vu la méthode décrite (le commentateur reçoit bien le produit), ça ne prouve rien malheureusement.
Le 11/05/2021 à 16h26
C’est surtout le problème des plateformes : implicitement toute notation publique est libre et non contraignante.
Il faudrait un système d’avis certifié par une entité externe mais je n’en perçois même pas l’utilité dans le cas d’amazon. Ils remboursent très facilement et virent les parasites régulièrement si tu en apportes la preuve (autrement dit justice privée et sous-traitance à coût nul à la clé).
Le 11/05/2021 à 12h26
Et cela a conduit Amazon a retirer (temporairement) les produits de certaines marques (dont Aukey et Mpow) de toutes ses boutiques : The Verge
Le 11/05/2021 à 12h27
Je croyais que la Block-Chain et le Deep-Learning étaient des solutions miracles !
On m’aurait menti ? Pourtant les commentaires étaient positifs.
Le 11/05/2021 à 13h11
“Amazon ne contrôlant pas la chaîne du remboursement”
Amazon ne contrôle pas grand chose, même quand c’est lui le vendeur…
J’ai une Switch que Amazon m’a remboursé.
Le 11/05/2021 à 14h43
Une installation par défaut d’Elasticsearch c’est openbar sur le port 9200.
Le 11/05/2021 à 19h06
Se faire rembourser un produit en marketplace c’est devenu compliqué chez Amazon. Je préfère passer par Aliexpress.
D’ailleurs Amazon ça devient tout pourri avec le temps…
Le 12/05/2021 à 06h26
Ma compagne a acheté un article sur Amazon (maillot de bain), elle a voulu le retourner au vendeur, c’était en chine, résultat les frais de ports étaient plus élevés que le prix de l’article, encore un achat qui finira en don chez Emmaüs.
Bien vérifier les conditions de renvoi au vendeur avant d’acheter sur Amazon.
Le 12/05/2021 à 09h31
Même soucis pour moi chez Rueducommerce, achat d’un onduleur et je n’ai pas fait attention au format de prise (IEC dans le tire de l’article) mais les images montraient des prises IEC et FR.
J’ai d’abord voulu renvoyer l’article mais vu le poids, le retour m’aurait coupé un bras.
J’ai finalement gardé l’onduleur et acheté des adaptateurs.
Je plussoie, toujours bien vérifier les conditions des vendeurs et ne pas passer de commande dans l’urgence.
Le 11/05/2021 à 19h51
J’ai lu l’article d’origine, et le serveur ElasticSearch n’a pas l’air d’être hébergé chez AWS (par contre il est en Chine, pas sûr que AWS ait des serveurs là-bas)
Le 12/05/2021 à 06h14
Je vous recommande le dossier La Guerre des étoiles de Hacking Social à ce sujet. Très instructif.
Si, AWS a une région en Chine, tout comme Azure.
https://aws.amazon.com/about-aws/global-infrastructure/regions_az/
Le 12/05/2021 à 10h43
Mon commentaire peut sembler litigieux. Ca visait pas la qualité du produit.
C’était pour savoir si mon impression que ça arrivait plus souvent en ce moment à ce produit était un effet de lentille. Ou si c’était aussi due à des raisons “réelles”, comme une install par défaut “openbar” (merci Spidermoon).
Nb : pour être clair, mon point de vue est qu’à partir du moment où pour ce style de produit, on laisse la config par défaut le problème, c’est l’interface chaise clavier (intentionnellement ou non).
Le 12/05/2021 à 11h22
Généralement, les objets créés dans un Cloud Public sont eux-même publics, c’est à dire joignables librement par Internet. Bien que le provider mette des sécurités par défaut, si le client ne fait rien de plus ou les désactive il peut être sujet à exposition indésirée ou mal gérée.
Je ne sais pas pour AWS, mais dans le cas d’Azure il faut utiliser les niveaux de services avancés (donc plus onéreux) pour bénéficier du private networking sur les ressources.
C’est un peu une des raisons pour lesquelles le Public Cloud est une plaie en matière de shadow-IT car on se retrouve avec des objets mal maîtrisés, installés grâce à l’apparente facilité de ces outils, mais qui peuvent être dangereusement exposés ou pas maintenus proprement.