微软员工盗取自家商店1000万美元的礼券

上周二，一名前微软软件工程师被捕，他涉嫌窃取1000万美元的数字礼券。

25岁的Volodymyr Kvashuk居住在华盛顿州伦顿，是乌克兰公民，最初为Microsoft的外包员工，于2016年8月被雇用为正式员工；直到2018年6月被解雇。

根据检方在西雅图美国联邦地方法院提起的诉讼，Kvashuk是Microsoft通用商店团队(UST)的成员，负责处理公司的电子商务业务。

“UST是微软的主要商业引擎，其使命是为所有商业内容提供一家通用商店。”其他公司在上面建设渠道和店面，连接公司、消费者和商业，数字和实体销售，订阅和交易内容。”

UST成员通过与专门创建的电子邮件地址和生产测试信用卡链接的Microsoft在线商店来建立虚拟客户帐户，以便在不产生实际费用的情况下进行购物测试。然后，团队成员将测试帐户列入白名单，以绕过Microsoft的安全和风险缓解系统。

但是在设计测试系统时，Microsoft忽略了其它重要的攻击手段。起诉文件解释道：“测试程序旨在阻止实物交付。微软没想到测试人员会购买数字货币或 CSV，因此没有采取任何保护措施来阻止CSV的交付。”

因此，测试人员可以购买Microsoft数字礼品卡，从而获得可以兑换的有效产品密钥，相当于给钱包充值。然后，记入贷方的电子资金可用于从商店中购买数字或物理产品。

据称，Kvashuk利用礼券购买了微软的产品，然后以低于市面的价格将大部分(据称价值1000万美元)卖给了第三方。

成功的次数越多，Kvashuk就越发贪婪和大胆。他的正常薪水大约为 11 万美元，而凭借非法获利，他为自己购买了16.2万美元的特斯拉和160万美元的房产。

微软的UST欺诈调查打击小组(FIST)注意到，2018年2月，Microsoft Xbox游戏系统的订阅费用中CSV的使用量大得可疑。调查人员追踪了数字资金的流向，找到了两个被列入白名单的测试帐户。

FIST开始追踪所涉及的帐户和交易。在美国特勤局和美国国税局的协助下，调查人员锁定了疑犯，尽管Kvashuk曾努力用假账户隐瞒其身份并使用比特币公共区块链掩盖交易。

除了服务提供商指向Kvashuk的记录外，微软的在线商店还使用了一种被称为“模糊设备ID”的设备指纹。调查人员发现特定的设备标识符链关联Kvashuk的帐户。

如今陪审团裁定，Kvashuk的罪名成立，这位前微软软件工程师可能会面临长达20年的监禁和25万美元的罚款。