整理 | 蘇宓當有一天公司的安全工程師成為安全的「後門」時,後果有時難以想象。Volodymyr Kvashuk 是一位從烏克蘭移居美國的一位工程師,他長期從事電腦科學相關工作,於 2016
2021-07-03 03:09:37
兩年盜取 1000 萬美元的 Xbox 禮品卡,這個人竟然是「內鬼」!
2021-07-03 03:09:37
當有一天公司的安全工程師成為安全的「後門」時,後果有時難以想象。
Volodymyr Kvashuk 是一位從烏克蘭移居美國的一位工程師,他長期從事電腦科學相關工作,於 2016 年 8 月加入微軟,擔任工程師,負責微軟支付系統的安全工作。
據彭博社報道,Volodymyr Kvashuk 在微軟擔任工程師期間,監守自盜,利用職位之便,通過微軟支付系統測試裝置中的漏洞,以位元幣形式出售大量的 Xbox 禮品卡,違規騙取超過 1000 萬美元。最終在東窗事發之後,他不僅將面臨數十年的監禁與高昂的罰款,還將被遣送回國,甚至他親手了卻了自己的計算機職業生涯。
從漏洞發現者變成入侵者
作為全球科技巨頭之一,眾所周知,微軟的業務覆蓋個人計算、智慧雲、生產力和企業流程等多方面,然而無論是哪一維度,安全均是其中不容忽略的重要板塊。面向安全,微軟為保障生態系統的安全,每年都會聘請一些優秀人才加入其中。
Volodymyr Kvashuk 是微軟安全部門的一員,他的主要工作是「模擬」在其商店購買硬體裝置時探尋微軟處理支付方式是否存在漏洞。
在測試過程中,他發現當使用虛擬賬號或公司內測的卡來購買硬體裝置如 PC 電腦時,微軟肯定不會向該虛擬賬戶傳送實物產品。但是,當線上購買一些虛擬產品如 Xbox 禮品卡時,微軟則會向對應的郵箱傳送一個完全有效的 25 位禮品卡對應的號碼(當前該系統已經被關閉)。
所謂有效,就是可以通過該 25 位由字母和數字組合起來的號碼,直接領取真實的權益,譬如用於購買微軟包括視訊遊戲、Office、Windows 軟體等線上銷售的任何一款產品。據悉,一個 25 位的禮品卡號碼價值 15 美元。
通過測試,Volodymyr Kvashuk 發現這一過程存在明顯的漏洞。按理來說,如果 Volodymyr Kvashuk 上報並讓研發部門及時修復該漏洞,才應該是正確的選擇,或許因此還能收到一筆獎金嘉獎,但是他卻沒有這麼做,反而選擇了隱瞞,並在 2017 年聖誕節前竊取了 20 張 15 美元的禮品卡號碼,總價值為 300 美元。
當從嚐到了「甜頭」之後,Volodymyr Kvashuk 的「私心」一發不可收拾,正如彭博社報道:
Kvashuk 從小規模開始,以 10 美元到 100 美元增量生成 Xbox 卡,迅速獲取利益。將近兩年後,當聯邦調查局的人找到他時,他已經偷走了超過 152,000 張 Xbox 禮品卡,價值 1,010 萬美元。靠所得的收入住在湖畔一棟七位數的房子裡,與此同時,他還計劃購買滑雪小屋、遊艇,和水上飛機等等。
‘貪汙’自動化與‘交易’匿名化
在「盜取」有效禮品卡的過程中,Kvashuk 還找出了他同事的密碼並使用了他們的測試賬戶名,利用微軟在其他地區的伺服器路由來掩蓋他的身份與蹤跡,當下測試訂單後,他收到了數十個禮品卡號碼,周而復始,他非法收益越來越多。
更勝的是,他還自己構建了一款名為 PurchaseFlow.CS 的應用程式,通過該應用,只要點幾下,就可以選擇禮品卡面額以及貨幣輸出的種類如美元、歐元、英鎊等,簡單來看,基於 PurchaseFlow.CS 就可以自動執行「偷盜」流程。檢察官後來將其描述為,「該軟體是為一個目的而創建,並且只有一個目的,即:使‘貪汙’自動化並允許欺詐和大規模盜竊。」
當獲得這些禮品卡後,Kvashuk 將前往 Paxful 等加密市場尋找潛在賣家。他會以相對摺扣價格批量出售它們,然後買家會繼續將其出售給想要使用這些禮品卡的人。之所以選擇 Paxful 這樣的平臺,是因為該平臺可以保持匿名交流與交易的方式。
「東窗事發」
最終,微軟在注意到禮品卡交易量急劇增加後,發現了 Kvashuk 的不法行為,隨即對 Kvashuk 做了辭退處理,並將其移交給警局。聯邦警察在 2019 年 7 月在家中將其逮捕,同時警察在 Kvashuk 的家中還找到了帶有銀行賬戶資訊的筆記本、包含多個禮品卡賬號的 USB 驅動器,以及一張「我將如何管理我的下一個 1000 萬」的計劃清單,這張清單顯示,Kvashuk 打算使用日後「偷」來的收益來買豪宅等,享受奢侈的生活。
可機會不會留給坐享其成的人。針對竊取如此大規模的禮品卡並將其銷售出去這一案件,檢查官表示 Kvashuk 對經銷商市場上的 Xbox 禮品卡價格的全球波動負有唯一責任。同時,針對 Kvashuk 的刑事案件的首席律師 Michael Dion 也說道,「這是一起高科技 MO(作案手法)的老派犯罪。」最終,Kvashuk 被判處 9 年監禁,很可能被驅逐回他的祖國烏克蘭,並被指控賠償 830 萬美元。
而回到最初,如果 Kvashuk 選擇上報漏洞,一切又將不一樣。
參考:https://www.bloomberg.com/features/2021-microsoft-xbox-gift-card-fraud/
相關文章
-
為什麼自動駕駛汽車不需要鐳射雷達?
開發和生產自動駕駛汽車所需的技術是什麼?生產商和研究機構對這個問題的答案存在著一些分歧。自動駕駛的方法範圍從攝像頭和計算機視覺的組合發展到計算機視覺和先進感測器
2021-07-03 03:09:30
-
Windows 11 如何免費升級?獲取方法來了!
Windows 11即將推出,如果已經是 Windows 10 使用者,則可以免費升級到微軟新近重新設計的作業系統。只要 PC 滿足最低要求,就可以像通常更新 Windows 10 一樣更新到 Windows 11,
2021-07-03 03:09:21
-
小米筆記本進軍高階市場!這顏值我說是輕薄本的天花板過分嗎?
這兩年以來小米在衝擊高階市場這條路上走得越來越順風順水,尤其是小米10和小米11系列憑藉著出色的效能和體驗,收穫了不少使用者的喜愛,同時也奠定了小米在手機高階市場上的地位
2021-07-03 03:09:15
-
Realme GT大師版爆料,又一款方向不那麼正確的產品?
之前有訊息稱,Realme將會在7月份釋出Realme GT大師版新機,機器將由知名設計大師深澤直人打造,此前Realme已經和深澤直人有過多次合作,推出過Realme X大師版,Realme X50大師版和Re
2021-07-03 03:09:10
-
國產手機還是幹不過蘋果,iPhone12上市半年銷量破億
據外媒報道,iPhone12從去年10月上市以來至今年4月就取得了1億部銷量,成為史上第二款最快取得破億銷量的iPhone,上一款是7年前釋出的iPhone6,可見iPhone12的成績多麼耀眼。iPhone
2021-07-03 03:09:02
