Pracownik Microsoftu ukradł 10 mln dolarów dzięki Xbox Gift Cards. Poznajcie ciekawą historię
Jeden z pracowników Microsoftu postanowił wykorzystać lukę w zabezpieczeniach sklepu amerykańskiej korporacji, by następnie dorobić się milionów dolarów. Volodymyr Kvashuk wykorzystał do przekrętu zwykłe karty podarunkowe Xbox.
Redakcja Bloomberg przybliża sprawę pracownika Microsoftu, który za pomocą zwykłych 25-cyfrowych kodów z kart podarunkowych do Xboksa zdołał ukraść korporacji 10 mln dolarów. Sytuacja jest o tyle zabawna, że to właśnie on powinien pomóc w zabezpieczeniu sklepu i wyeliminowaniu takich sytuacji.
Volodymyr Kvashuk zajmował się testowaniem infrastruktury e-commerce Microsoftu, a jego zadaniem było dokonywanie zakupów przy użyciu fałszywych kont w celu przetestowania systemów płatności online pod kątem błędów i usterek. W trakcie swojej pracy dostrzegł błąd, który postanowił wykorzystać.
Bug był zaskakująco prosty – za każdym razem gdy dokonywał on transakcji za pomocą karty podarunkowej, jednocześnie otrzymywał 25-cyfrowy kod, który mógł ponownie wykorzystywać. Pracownik Microsoftu zrozumiał, że może stworzyć miliony w cyfrowej walucie i postanowił nie dzielić się tą wiedzą.
„Kvashuk znalazł błąd, który odmienił jego życie - wadę tak głupio oczywistą, że nie mógł się zmusić do zgłoszenia jej swoim przełożonym. Zauważył, że za każdym razem, gdy testował zakup kart podarunkowych, Microsoft Store publikował prawdziwe kody 5x5. Dotarło to do niego: Mógłby wygenerować praktycznie nieograniczoną liczbę kodów, a wszystko to za darmo”.
Przedstawiciel Microsoftu postanowił wykorzystać wszystkie stworzone kody i sprzedawał je w cyfrowych sklepach z obniżką do 55%. Gdy sytuacja wymykała się spod kontroli, a popyt spadał, to zainteresowany wstrzymywał dostęp do kodów, by następnie ponownie je sprzedawać. Problemem okazał się moment, gdy klienci zaczęli zgłaszać, że część kodów już nie działa, ponieważ w tym samym czasie Microsoft szukał winowajcy problemu.
„Microsoft był już na polowaniu. W lutym 2018 roku firmowy zespół Fraud Investigation Strike Team zauważył niewytłumaczalny skok w zakupach online z wykorzystaniem kodów kart podarunkowych, który był około dwukrotnie wyższy od normalnych poziomów wykupu. Zespół ds. oszustw Microsoftu zgodnie z wewnętrznym raportem przypuszczał, że włamanie pochodziło od „zewnętrznego złego podmiotu”, ale wkrótce zdał sobie sprawę, że była to wewnętrzna robota”.
Sprawa została zgłoszona agentom federalnym, więc Volodymyr Kvashuk trafił na 9 lat do więzienia, a prawdopodobnie gdy wyjdzie na wolność – czeka go deportacja na Ukrainę. Microsoft oczywiście załatał lukę, jednak sytuacja jest o tyle interesująca, że pracownik zdołał okradać korporację przez lata.
