En fin de semaine dernière, les chercheurs de Safety Détective ont publié un rapport détonnant : ils sont « tombés » sur un serveur Elastic Search (AWS) ouvert aux quatre vents, contenant 7 Go d’informations sur ce qui semble être un réseau très organisé de faux avis sur Amazon.
13 millions d’enregistrements, appartenant à 200 000 à 250 000 comptes, contenaient ainsi des noms d’utilisateurs, adresses emails, comptes PayPal, liens vers des profils Amazon ou encore des numéros à contacter via WhatsApp ou Telegram.
Les chercheurs ont également trouvé des messages directs impliquant des négociations entre des clients et des commerçants prêts à les payer pour de faux avis. Des messages chinois ont en outre été découverts, suggérant une possible origine du réseau.
L’origine du serveur est cependant inconnue, et la fenêtre a été rapidement refermée. Les chercheurs ont trouvé la base le 1er mars, et l’accès était clos le 6.
Toujours selon les chercheurs, il est complexe pour Amazon de détecter qu’une source n’est pas fiable. Les tactiques découvertes impliquent par exemple un contact direct entre client et commerçant, ce dernier lui indiquant sur quel produit il souhaite une note maximale. Le client l’achète, donne les cinq étoiles quelques jours plus tard puis avertit le commerçant.
Ce dernier peut alors effectuer un remboursement par PayPal, le client gardant le produit, bien sûr offert pour l’occasion. Amazon ne contrôlant pas la chaîne du remboursement, il ne reste qu’un client ayant acheté le produit et publiant un avis ayant toutes les apparences de la légitimité.
« Nous avons des politiques claires, pour les évaluateurs et partenaires de vente, qui interdisent l'abus de nos fonctionnalités communautaires, et nous suspendons, bannissons et prenons des mesures juridiques contre ceux qui violent ces politiques » a réagi Amazon auprès de ZDnet. Mais en dépit de règles strictes, la découverte de Safety Détectives montre toute la difficulté de la lutte.
Commentaires (35)
#1
Quelques minutes de recherche sur les réseaux sociaux permettent également de se rendre compte de l’ampleur du phénomène… De nombreux vendeurs chinois proposent leurs produits en échange d’un avis…
#2
C’est une pratique courante. On m’a déjà proposé de faire ça.
Et pas plus tard que hier, après avoir mis 5 étoiles sur un produit chez un commerçant, il m’a proposé 15€ si je mettais le même commentaire sur Google.
#3
Regardez Aliexpress, avec les commentaires de français bourrés de fautes et plusieurs fois sans aucun sens (on sent la traduction littérale foireuse).
Après c’est comme tout, faut être vigilant même si c’est compliqué…
#4
Et il est où le lien vers ce commentaire poster sur Google ?!
#4.1
Je ne l’ai pas encore fait, mais effectivement, j’hésite ^^
#5
C’est moi ou bien l’illustration de l’article, c’est un montage avec la trombine du lead de Ultra Vomit ?
#6
Absolument pas étonné et c’est une pratique courante malheureusement.
#7
Bien pour cela que je ne regarde JAMAIS les avis positifs sur un produit, mais seulement les avis négatifs. Ce sont ceux-là qui sont vraiment représentatifs d’un produit.
#7.1
Alors non parce que même s’il est un peu moins répandu, il existe aussi le phénomène inverse, les faux commentaires négatifs pour faire chier le concurrent.
#7.2
Oui mais on s’en rend vite compte du commentaire négatif “pour faire chier” de celui qui a vraiment utilisé le produit.
#7.3
Et à l’inverse, il y a des faux commentaires au français impeccable (tout simplement parce qu’ils ont leur commentaire 5* “type” qu’ils ont bien peaufiné et copient/collent dans tous les sens.
Un commentaire avec 1⁄2 fautes de frappes ou un petit souci d’accord, là on a de l’authentique.
Mais bon ça reste hyper dur à distinguer… perso je favorise aussi les avis plus mitigés (entre 2 et 4 étoiles) et je go faire un tour sur https://reviewmeta.com/ .
Autrement j’acknoledge le fait d’acheter de la camelote pas chère et à ce compte là je fonce direct sur Aliexpress, quitte à acheter du caca où les avis ne valent rien, autant aller à la source.
#7.4
Paradoxalement souvent on a de la meilleure qualité pour moins cher. Constaté sur pas mal de produits qu’avant j’achetais chez Amazon, notamment de la pièce détachée pour smartphone. Il suffit de prendre un vendeur qui a pignon sur rue.
#7.5
* acknowledge il fallait lire, bien sûr.
Désolé je peux plus éditer, et la faute de frappe me pique trop les yeux moi-même pour que je me la laisse passer…
#7.6
Et écrire en français, c’est possible aussi ? Le verbe reconnaître (voire assumer) pourrait convenir et la seule difficulté est le double n ou l’accent circonflexe sur le i.
#7.7
Essaye wish tu seras encore moins déçu des commentaires.
#7.8
Je suis pas sûr qu’il faille dénigrer le made in china. Entre la sous-traitance et la montée en puissance de certaines entreprises, et je pense aux acteurs de la téléphonie mobile, ils font de la qualité maintenant.
Après y’a aussi beaucoup de ça, comme partout.
#8
Il suffit de lire le français approximatif de certains commentaires pour s’en convaincre : phrases à la structure douteuse qui n’ont parfois aucun sens (même quelqu’un n’ayant aucune orthographe n’aurait pas structuré sa phrase comme ça) et tu comprends vite que la personne qui l’a écrite n’est pas francophone.
Sur Amazon, j’ai acheté une pièce détachée pour réparer mon tel, dans le colis, il y avait un “bon d’achat” de 20 euros si je mettais un commentaire à 5 étoiles pour une pièce à 30 euros. Et après utilisation, j’ai bien compris que la pièce ne valait pas ses 30 euros car elle est vraiment de qualité médiocre…
Bref, on s’en doutait un peu, encore et toujours de la triche. Dois t-on être étonné ?
#9
Es-ce que les chercheurs ont pu télécharger les données de ce mystérieux serveur??
#10
C’est moi où c’est souvent les serveur Elastic Search qui se font avoir en ce moment ?
#10.1
Ça change des bases de données MongoDB..
#10.2
Sur un AWS open bar, un Elastic Search open bar. Soit les admins étaient de vrais tocards, soit c’est intentionnel.
Mais c’est pas le produit qui est en cause là.
#11
Un « coup de bol » pour les chercheurs d’être tombés sur un serveur ouvert. Combien d’autres usines à faux commentaires font un peu plus attention de ne pas laisser leurs bases en libre accès ?
Quand je laisse un commentaire sur un produit, j’essaye de prendre une photo pour « prouver » que je l’ai bien reçu, mais comme mon commentaire est potentiellement une goutte d’eau dans un océan de faux, difficile de lutter…
#11.1
Vu la méthode décrite (le commentateur reçoit bien le produit), ça ne prouve rien malheureusement.
#11.2
C’est surtout le problème des plateformes : implicitement toute notation publique est libre et non contraignante.
Il faudrait un système d’avis certifié par une entité externe mais je n’en perçois même pas l’utilité dans le cas d’amazon. Ils remboursent très facilement et virent les parasites régulièrement si tu en apportes la preuve (autrement dit justice privée et sous-traitance à coût nul à la clé).
#12
Et cela a conduit Amazon a retirer (temporairement) les produits de certaines marques (dont Aukey et Mpow) de toutes ses boutiques : https://www.theverge.com/2021/5/10/22428858/amazon-aukey-mpow-listings-disappearing
#13
Je croyais que la Block-Chain et le Deep-Learning étaient des solutions miracles !
On m’aurait menti ? Pourtant les commentaires étaient positifs.
#14
“Amazon ne contrôlant pas la chaîne du remboursement”
Amazon ne contrôle pas grand chose, même quand c’est lui le vendeur…
J’ai une Switch que Amazon m’a remboursé.
#15
Une installation par défaut d’Elasticsearch c’est openbar sur le port 9200.
#16
Se faire rembourser un produit en marketplace c’est devenu compliqué chez Amazon. Je préfère passer par Aliexpress.
D’ailleurs Amazon ça devient tout pourri avec le temps…
#16.1
Ma compagne a acheté un article sur Amazon (maillot de bain), elle a voulu le retourner au vendeur, c’était en chine, résultat les frais de ports étaient plus élevés que le prix de l’article, encore un achat qui finira en don chez Emmaüs.
Bien vérifier les conditions de renvoi au vendeur avant d’acheter sur Amazon.
#16.2
Même soucis pour moi chez Rueducommerce, achat d’un onduleur et je n’ai pas fait attention au format de prise (IEC dans le tire de l’article) mais les images montraient des prises IEC et FR.
J’ai d’abord voulu renvoyer l’article mais vu le poids, le retour m’aurait coupé un bras.
J’ai finalement gardé l’onduleur et acheté des adaptateurs.
Je plussoie, toujours bien vérifier les conditions des vendeurs et ne pas passer de commande dans l’urgence.
#17
J’ai lu l’article d’origine, et le serveur ElasticSearch n’a pas l’air d’être hébergé chez AWS (par contre il est en Chine, pas sûr que AWS ait des serveurs là-bas)
#17.1
Je vous recommande le dossier La Guerre des étoiles de Hacking Social à ce sujet. Très instructif.
Si, AWS a une région en Chine, tout comme Azure.
https://aws.amazon.com/about-aws/global-infrastructure/regions_az/
#18
Mon commentaire peut sembler litigieux. Ca visait pas la qualité du produit.
C’était pour savoir si mon impression que ça arrivait plus souvent en ce moment à ce produit était un effet de lentille. Ou si c’était aussi due à des raisons “réelles”, comme une install par défaut “openbar” (merci Spidermoon).
Nb : pour être clair, mon point de vue est qu’à partir du moment où pour ce style de produit, on laisse la config par défaut le problème, c’est l’interface chaise clavier (intentionnellement ou non).
#18.1
Généralement, les objets créés dans un Cloud Public sont eux-même publics, c’est à dire joignables librement par Internet. Bien que le provider mette des sécurités par défaut, si le client ne fait rien de plus ou les désactive il peut être sujet à exposition indésirée ou mal gérée.
Je ne sais pas pour AWS, mais dans le cas d’Azure il faut utiliser les niveaux de services avancés (donc plus onéreux) pour bénéficier du private networking sur les ressources.
C’est un peu une des raisons pour lesquelles le Public Cloud est une plaie en matière de shadow-IT car on se retrouve avec des objets mal maîtrisés, installés grâce à l’apparente facilité de ces outils, mais qui peuvent être dangereusement exposés ou pas maintenus proprement.