比伯 avatar

微软员工盗取自家商店1000万美元的礼券

🕟 by 比伯

上周二,一名前微软软件工程师被捕,他涉嫌窃取1000万美元的数字礼券。

25岁的Volodymyr Kvashuk居住在华盛顿州伦顿,是乌克兰公民,最初为Microsoft的外包员工,于2016年8月被雇用为正式员工;直到2018年6月被解雇。

根据检方在西雅图美国联邦地方法院提起的诉讼,Kvashuk是Microsoft通用商店团队(UST)的成员,负责处理公司的电子商务业务。

“UST是微软的主要商业引擎,其使命是为所有商业内容提供一家通用商店。”其他公司在上面建设渠道和店面,连接公司、消费者和商业,数字和实体销售,订阅和交易内容。”

UST成员通过与专门创建的电子邮件地址和生产测试信用卡链接的Microsoft在线商店来建立虚拟客户帐户,以便在不产生实际费用的情况下进行购物测试。然后,团队成员将测试帐户列入白名单,以绕过Microsoft的安全和风险缓解系统。

但是在设计测试系统时,Microsoft忽略了其它重要的攻击手段。起诉文件解释道:“测试程序旨在阻止实物交付。微软没想到测试人员会购买数字货币或 CSV,因此没有采取任何保护措施来阻止CSV的交付。”

因此,测试人员可以购买Microsoft数字礼品卡,从而获得可以兑换的有效产品密钥,相当于给钱包充值。然后,记入贷方的电子资金可用于从商店中购买数字或物理产品。

据称,Kvashuk利用礼券购买了微软的产品,然后以低于市面的价格将大部分(据称价值1000万美元)卖给了第三方。

成功的次数越多,Kvashuk就越发贪婪和大胆。他的正常薪水大约为 11 万美元,而凭借非法获利,他为自己购买了16.2万美元的特斯拉和160万美元的房产。

微软的UST欺诈调查打击小组(FIST)注意到,2018年2月,Microsoft Xbox游戏系统的订阅费用中CSV的使用量大得可疑。调查人员追踪了数字资金的流向,找到了两个被列入白名单的测试帐户。

FIST开始追踪所涉及的帐户和交易。在美国特勤局和美国国税局的协助下,调查人员锁定了疑犯,尽管Kvashuk曾努力用假账户隐瞒其身份并使用比特币公共区块链掩盖交易。

除了服务提供商指向Kvashuk的记录外,微软的在线商店还使用了一种被称为“模糊设备ID”的设备指纹。调查人员发现特定的设备标识符链关联Kvashuk的帐户。

如今陪审团裁定,Kvashuk的罪名成立,这位前微软软件工程师可能会面临长达20年的监禁和25万美元的罚款。

写一条评论