笨贼
微软工程师盗取自家商店1000万美元的礼券
上周二,一名前微软软件工程师被捕,他涉嫌窃取1000万美元的数字礼券。
25岁的Volodymyr Kvashuk居住在华盛顿州伦顿,是乌克兰公民,最初为Microsoft的外包员工,于2016年8月被雇用为正式员工;直到2018年6月被解雇。
根据检方在西雅图美国联邦地方法院提起的诉讼,Kvashuk是Microsoft通用商店团队(UST)的成员,负责处理公司的电子商务业务。
“UST是微软的主要商业引擎,其使命是为所有商业内容提供一家通用商店。”其他公司在上面建设渠道和店面,连接公司、消费者和商业,数字和实体销售,订阅和交易内容。”
UST成员通过与专门创建的电子邮件地址和生产测试信用卡链接的Microsoft在线商店来建立虚拟客户帐户,以便在不产生实际费用的情况下进行购物测试。然后,团队成员将测试帐户列入白名单,以绕过Microsoft的安全和风险缓解系统。
但是在设计测试系统时,Microsoft忽略了其它重要的攻击手段。起诉文件解释道:“测试程序旨在阻止实物交付。微软没想到测试人员会购买数字货币或 CSV,因此没有采取任何保护措施来阻止CSV的交付。”
因此,测试人员可以购买Microsoft数字礼品卡,从而获得可以兑换的有效产品密钥,相当于给钱包充值。然后,记入贷方的电子资金可用于从商店中购买数字或物理产品。
据称,Kvashuk利用礼券购买了微软的产品,然后以低于市面的价格将大部分(据称价值1000万美元)卖给了第三方。
成功的次数越多,Kvashuk就越发贪婪和大胆。他的正常薪水大约为 11 万美元,而凭借非法获利,他为自己购买了16.2万美元的特斯拉和160万美元的房产。
微软的UST欺诈调查打击小组(FIST)注意到,2018年2月,Microsoft Xbox游戏系统的订阅费用中CSV的使用量大得可疑。调查人员追踪了数字资金的流向,找到了两个被列入白名单的测试帐户。
FIST开始追踪所涉及的帐户和交易。在美国特勤局和美国国税局的协助下,调查人员锁定了疑犯,尽管Kvashuk曾努力用假账户隐瞒其身份并使用比特币公共区块链掩盖交易。
除了服务提供商指向Kvashuk的记录外,微软的在线商店还使用了一种被称为“模糊设备ID”的设备指纹。调查人员发现特定的设备标识符链关联Kvashuk的帐户。
如今陪审团裁定,Kvashuk的罪名成立,这位前微软软件工程师可能会面临长达20年的监禁和25万美元的罚款。
本文译自 theregister,由 majer 编辑发布。
话说国内网游里好多涉及CDK的物品都有这种可被利用的漏洞……见报的,某网游开发人员把游戏里面的虚拟物品礼包低价卖给游戏内的商人,总价值3亿多,最终游戏里的经济通货膨胀才被人发现。还有当初吃鸡最火的时候,官方也有好多这种家贼
ps 有朋友说为什么标题里不是“微软前软件工程师”或“前微软软件工程师”。因为汉语里没有时态变化,特意注明“前工程师”的话,存在一种歧义:犯罪行为发生在离职后,犯罪者是微软前工程师。实际上,犯罪时,嫌犯就是微软的工程师,而罪行揭露后,他当然就不会再是微软的工程师。所以,即便仅仅是阅读标题,也能通过推理补全。所以用更少的字数表达了同样的信息,岂不美哉。