Ein Datenleck zeigt, wie Amazon-Bewertungen gekauft werden

Inhaltsverzeichnis

Anfang Oktober erreichte uns eine Mail eines anonymen Tippgebers, die uns neugierig machte. "Verkäufer von Amazon-Bewertungen hat Screenshots der Einkäufe offen im Netz", hieß es in der Betreffzeile. Wir klickten den vom Informanten gesendeten Link an und im Browser erschien ein Ordner mit exakt 14.359 Screenshots von Amazon-Bestellbestätigungen und -Rezensionen.

Wir schauten uns einige hundert Screenshots an. Rund die Hälfte zeigte Rezensionen, die andere Hälfte Bestellbestätigungen. Die Dateinamen folgten keinem erkennbaren Muster, jedoch gehörten offenbar jeweils eine Rezension und eine Kaufbestätigung zusammen. So zeigte ein Bild, dass jemand am 30. Juli einen "Baozun Fahrradständer" bestellt hatte. Ein weiteres Bild zeigte eine am 9. August verfasste Rezension dieses Produkts.

Name und Anschrift geleakt

Auffälligerweise lagen in dem Ordner ausnahmslos 5-Sterne-Bewertungen. Das legt den Verdacht nahe, dass die Rezensionen gekauft waren. Offenbar hatte irgendjemand mehr als 7000 Fünf-Sterne-Bewertungen organisiert und die Belege auf dem Server gesammelt. Der älteste Screenshot stammte von Ende Januar. Also waren pro Monat im Schnitt über 800 Rezensionen dokumentiert worden.

Vielen Verbrauchern ist zwar längst klar, dass Bewertungen mit Vorsicht zu genießen sind. Doch im Einzelfall lässt sich selten sagen, wie eine bestimmte Rezension zustande gekommen ist. Und es kommt noch seltener vor, dass Tausende dubiose Fälle auf einmal bekannt werden.

Besonders heikel: In vielen Fällen waren in den Bestellbestätigungen Klarname und Anschrift der Person sichtbar, die das Produkt gekauft und offenbar im Anschluss eine Jubelrezension verfasste hat. Außerdem waren die Namen der Händler ersichtlich, die von den Bewertungen profitierten. Wir schauten uns einige Dutzend näher an – alle hatten ihren Sitz in China.

Doch wie wurden die Bewertungen organisiert, und weshalb standen die Screenshots im Netz? Das konnte uns der Tippgeber erklären: Im Messenger Telegram gebe es zahlreiche Gruppen, in denen sogenannte "Agenten" Bewertungen für chinesische Händler beschafften.

Gratis shoppen

Wir schauten uns einige Gruppen an und staunten über die Dreistigkeit der Agenten. Sie posten wie am Fließband Produkte von Amazon-Verkäufern, verbunden mit dem Hinweis, dass der Kaufpreis per PayPal erstattet wird, wenn man die Ware zunächst auf eigene Kosten bestellt und mit 5 Sternen bewertet. Als Beleg muss man lediglich Screenshots der Rezension und der Bestellnummer an den Agenten senden.

Wer mitmacht, kann also quasi kostenlos auf Amazon.de einkaufen. Zur Wahl stehen zwar nur No-Name-Produkte mit Verkaufspreisen von unter 50 Euro, doch davon abgesehen haben die Agenten für praktisch jeden Bedarf etwas Passendes im Angebot – von Mode über Elektronik bis hin zu Sexspielzeug.

In vielen Telegram-Channels läuft die Masche sogar automatisch. Man chattet nicht mit einem Agenten aus Fleisch und Blut, sondern mit einem Bot. Neu ist diese effiziente Fake-Maschinerie nicht: Schon im Frühjahr sendete der SWR eine Doku darüber.

Unser Tippgeber begann nach eigener Auskunft vor einigen Monaten damit, Produkte aus einem bestimmten Telegram-Channel zu bestellen. Nach einer Rezension habe er vergeblich auf die Erstattung gewartet und deshalb beim Agenten nachgehakt. Dieser schickte ihm einen Screenshot der App, mit der er anscheinend die Transaktionen kontrollierte.

In dem Screenshot, der c’t vorliegt, sind zwei Links zu sehen, die zu den oben erwähnten rund 14.000 Screenshots führen. Das Datenleck hängt also offensichtlich mit dem Telegram-Channel zusammen. Dies wiederum bestätigt den Verdacht, dass die Screenshots gekaufte Rezensionen zeigen, die gegen Amazons Rezensionsrichtlinien und das Wettbewerbsrecht verstoßen.

Beweismaterial

Unter der IP-Adresse lief ein Apache-Webserver in Standardkonfiguration, also ein System, das normalerweise für öffentlich sichtbare Inhalte gedacht ist. Einen Zugriffsschutz muss man bewusst einrichten, zum Beispiel mit der Konfigurationsdatei htaccess. In diesem Fall war das nicht passiert.

Nach Absprache mit uns konfrontierte unser Tippgeber den Agenten mit dem Leck. Dieser machte einen von ihm beauftragten Entwickler für den Fehler verantwortlich. Kurze Zeit später war der Ordner mit den Screenshots nicht mehr einsehbar.

Wir hatten die Daten zu diesem Zeitpunkt bereits gesichert. Nach Abschluss der Recherche werden wir sie jedoch löschen. Eine Weitergabe an Amazon kommt für uns nicht infrage, aufgrund der enthaltenen personenbezogenen Informationen.

Ohnehin wäre wenig gewonnen, wenn Amazon die 7000 Rezensionen finden und löschen könnte: Auch wenn die Zahl erst einmal beträchtlich klingt – angesichts der Vielzahl der "Produkttester"-Gruppen auf Telegram, WhatsApp & Co. ist sie nicht der Rede wert.

Gegenmaßnahmen von Amazon

Amazon bekämpft Fake-Bewertungen nach eigener Auskunft mit zahlreichen Maßnahmen. Software und Prüfteams analysierten mehr als zehn Millionen Rezensionen pro Woche, erklärte ein Sprecher. Außerdem arbeite man mit sozialen Medien und Zahlungsdiensten zusammen, um Fälschergruppen zu stoppen. Allein in Deutschland habe man ein Dutzend einstweilige Verfügungen gegen Verkäufer von gefälschten Rezensionen erwirkt. Amazon rät zudem Kunden, die an der Glaubwürdigkeit einer Rezension zweifeln, den darunter stehenden Link "Missbrauch melden" zu klicken.

Doch die Maßnahmen wirken wie ein Kampf gegen Windmühlen: Neue Messenger-Gruppen sind schnell gegründet. Obendrein steht Telegram in den Ruf, kaum etwas gegen illegale Inhalte zu unternehmen. Und auch Amazons KI kann unmöglich alle gekauften Rezensionen erkennen: Wir überprüften zwei Dutzend Rezensionen aus dem Datenleck, die vor über einem Monat erstellt worden waren. Die Hälfte war noch online.

Hinzu kommt der Erfindungsreichtum mancher Händler. Als ein Kollege aus der Redaktion vor Kurzem einen Displayschutz bei einem chinesischen Verkäufer auf Amazon.de bestellte, mit Versand durch Amazon, lag in der Schachtel auch ein Zettel, der im Gegenzug für eine 5-Sterne-Bewertung eine Zahlung von 20 Euro via PayPal versprach. Der Trick funktioniert also auch ganz ohne Mittelsmänner und Chatgruppen.

Dieser Artikel stammt aus c't 24/2020.

(cwo)