两年盗取 1000 万美元的 Xbox 礼品卡,这个人竟然是“内鬼”!

当有一天公司的安全工程师成为安全的“后门”时,后果有时难以想象。

Volodymyr Kvashuk 是一位从乌克兰移居美国的一位工程师,他长期从事计算机科学相关工作,于 2016 年 8 月加入微软,担任工程师,负责微软支付系统的安全工作。

据彭博社报道,Volodymyr Kvashuk 在微软担任工程师期间,监守自盗,利用职位之便,通过微软支付系统测试设备中的漏洞,以比特币形式出售大量的 Xbox 礼品卡,违规骗取超过 1000 万美元。最终在东窗事发之后,他不仅将面临数十年的监禁与高昂的罚款,还将被遣送回国,甚至他亲手了却了自己的计算机职业生涯。

1.
从漏洞发现者变成入侵者

 作为全球科技巨头之一,众所周知,微软的业务覆盖个人计算、智能云、生产力和企业流程等多方面,然而无论是哪一维度,安全均是其中不容忽略的重要板块。面向安全,微软为保障生态系统的安全,每年都会聘请一些优秀人才加入其中。

Volodymyr Kvashuk 是微软安全部门的一员,他的主要工作是“模拟”在其商店购买硬件设备时探寻微软处理支付方式是否存在漏洞。

在测试过程中,他发现当使用虚拟账号或公司内测的卡来购买硬件设备如 PC 电脑时,微软肯定不会向该虚拟账户发送实物产品。但是,当在线购买一些虚拟产品如 Xbox 礼品卡时,微软则会向对应的邮箱发送一个完全有效的 25 位礼品卡对应的号码(当前该系统已经被关闭)。

所谓有效,就是可以通过该 25 位由字母和数字组合起来的号码,直接领取真实的权益,譬如用于购买微软包括视频游戏、Office、Windows 软件等在线销售的任何一款产品。据悉,一个 25 位的礼品卡号码价值 15 美元。

通过测试,Volodymyr Kvashuk 发现这一过程存在明显的漏洞。按理来说,如果 Volodymyr Kvashuk 上报并让研发部门及时修复该漏洞,才应该是正确的选择,或许因此还能收到一笔奖金嘉奖,但是他却没有这么做,反而选择了隐瞒,并在 2017 年圣诞节前窃取了 20 张 15 美元的礼品卡号码,总价值为 300 美元。

当从尝到了“甜头”之后,Volodymyr Kvashuk 的“私心”一发不可收拾,正如彭博社报道:

Kvashuk 从小规模开始,以 10 美元到 100 美元增量生成 Xbox 卡,迅速获取利益。将近两年后,当联邦调查局的人找到他时,他已经偷走了超过 152,000 张 Xbox 礼品卡,价值 1,010 万美元。靠所得的收入住在湖畔一栋七位数的房子里,与此同时,他还计划购买滑雪小屋、游艇,和水上飞机等等。 

2.
‘贪污’自动化与‘交易’匿名化

 在“盗取”有效礼品卡的过程中,Kvashuk 还找出了他同事的密码并使用了他们的测试账户名,利用微软在其他地区的服务器路由来掩盖他的身份与踪迹,当下测试订单后,他收到了数十个礼品卡号码,周而复始,他非法收益越来越多。

更胜的是,他还自己构建了一款名为 PurchaseFlow.CS 的应用程序,通过该应用,只要点几下,就可以选择礼品卡面额以及货币输出的种类如美元、欧元、英镑等,简单来看,基于 PurchaseFlow.CS 就可以自动执行“偷盗”流程。检察官后来将其描述为,“该软件是为一个目的而创建,并且只有一个目的,即:使‘贪污’自动化并允许欺诈和大规模盗窃。”

当获得这些礼品卡后,Kvashuk 将前往 Paxful 等加密市场寻找潜在卖家。他会以相对折扣价格批量出售它们,然后买家会继续将其出售给想要使用这些礼品卡的人。之所以选择 Paxful 这样的平台,是因为该平台可以保持匿名交流与交易的方式。 

3.
“东窗事发”

最终,微软在注意到礼品卡交易量急剧增加后,发现了 Kvashuk 的不法行为,随即对 Kvashuk 做了辞退处理,并将其移交给警局。联邦警察在 2019 年 7 月在家中将其逮捕,同时警察在 Kvashuk 的家中还找到了带有银行账户信息的笔记本、包含多个礼品卡账号的 USB 驱动器,以及一张“我将如何管理我的下一个 1000 万”的计划清单,这张清单显示,Kvashuk 打算使用日后“偷”来的收益来买豪宅等,享受奢侈的生活。

可机会不会留给坐享其成的人。针对窃取如此大规模的礼品卡并将其销售出去这一案件,检查官表示 Kvashuk 对经销商市场上的 Xbox 礼品卡价格的全球波动负有唯一责任。同时,针对 Kvashuk 的刑事案件的首席律师 Michael Dion 也说道,“这是一起高科技 MO(作案手法)的老派犯罪。”最终,Kvashuk 被判处 9 年监禁,很可能被驱逐回他的祖国乌克兰,并被指控赔偿 830 万美元。

而回到最初,如果 Kvashuk 选择上报漏洞,一切又将不一样。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注