Antes de comprar alguma coisa pela internet, é natural que tenhamos a curiosidade de ver a opinião de que outras pessoas que já adquiriram aquele produto. Só que muitas dessas resenhas — a grande maioria delas em itens vendidos na Amazon — de supostos consumidores são, na verdade, falsas experiências. E mais: em troca de avaliarem os produtos, os usuários ganhavam mercadorias gratuitamente.

Essa é a constatação de um relatório da empresa de segurança cibernética SafetyDetectives, que descobriu no início deste ano um banco de dados ElasticSearch envolvendo vendedores e clientes da Amazon. De um lado, os comerciantes oferecem produtos grátis; do outro, consumidores compram os produtos, com a garantia de reembolso, em troca de falsos depoimentos falando bem dos itens doados e marcando cinco estrelas em cada um deles.

O banco de dados em questão tinha mais de 13 milhões de registros comprimidos em um arquivo de 7 GB. O servidor funcionava como um meio para que o vendedor soubesse para quais consumidores ele devolveria o dinheiro. Acredita-se que o banco de dados esteja localizado na China e tenha afetado principalmente os Estados Unidos e países da Europa.

Funcionava assim: ao comprar o produto, o cliente o recebia em casa e, alguns dias depois, escrevia uma crítica positiva a ele, atribuindo cinco estrelas. Depois, o falso consumidor enviava uma mensagem ao vendedor contendo seu perfil na Amazon e informações de sua conta no PayPal, para que o comerciante então devolvesse o valor do produto na conta do usuário. Este, por fim, ganhava o reembolso e ficava com o objeto comprado.

Justamente pela devolução dos valores acontecer no PayPal e não na Amazon, a equipe da SafetyDetectives afirma que era quase impossível detectar quando uma resenha era falsa ou verdadeira. Para não levantar ainda mais suspeitas, os vendedores que usavam o servidor orientavam os falsos clientes a esperar alguns dias antes de publicar uma nova revisão. Tinha até uma “curadoria” sobre o que deveriam falar — algumas resenhas eram maiores e traziam muito mais detalhes do que as demais.

Assine a newsletter do Gizmodo

Mais de 200 mil pessoas participavam do esquema. O arquivo de 7 GB ainda continha dados sensíveis dos usuários que topavam ingressar na ação fraudulenta. Isso inclui contas e-mail, números de telefone do WhatsApp e Telegram, detalhes sobre contas no PayPal, entre outros. A SafetyDetectives detectou pelo menos 75 mil links para contas/perfis de revendedores da Amazon, além de 232.664 de contas no Gmail expostas no servidor.

Ainda de acordo com a SafetyDetectives, a violação foi descoberta no dia 1° de março de 2021. Em 6 de março, o servidor baseado em ElasticSearch foi protegido, o que significa que, além de ter se tornado inacessível para pessoas de fora do esquema de críticas falsas, é provável que a ação fraudulenta continua a todo vapor.

[SafetyDetectives, SlashGear]