微软工程师薅微软羊毛1000万美金,竟拿同事当替罪羊

作者:赛姆科技 | 国际 2020/11/14 06:37:56 18
文章来源:https://www.anquanke.com/post/id/222282


事件报道

据知情人士透露,前微软软件工程师沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)因两年内盗窃价值超过1000万美元的数字货币(代金券)而被判处了九年监禁,其中还包括大量的礼品卡等支持直接兑换现金的宝贝。

沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)是一名乌克兰人,今年26岁,东欧程序员,一听就不太好惹,感觉一个比一个能打。他在2016年到2018年于微软工作期间,通过公司的一个系统漏洞,愣是撸走了1000万美元!而这个漏洞说来也很搞笑:原来是一个微软内部的测试程序,可以直接生产数字货币代金券,要命的是这些代金券还真的可以花。

他当时作为微软公司通用商店团队(UST)的其中一名工作人员时,使用微软商店的测试账户并通过未授权的模拟产品购买行为,成功地从微软窃取了价值约1010万美元的数字货币(代金券)。

沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)于 2016 年 8 月被聘为微软正式员工,并于 2018 年 6 月被微软公司解雇。根据检方公布的诉状,沃罗德米尔·克瓦舒克已被西雅图联邦地方法院起诉,相关的法庭文件可以点击下列链接获取:

https://beta.documentcloud.org/documents/20403529-volodymyr-kvashuk-bc-complaint

2018年2月份,微软的UST欺诈调查打击小组(FIST)发现了使用数字货币(代金券)购买Xbox Live订阅量的可疑增长,并顺藤摸瓜抓到了沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)。

微软公司 Azure DevOps 产品负责人 Sam Guckenheimer 曾在 2017 年做出正式说明称:“UST 是微软公司的主要商业引擎,使命是为微软的全部商业产品提供 One Universal Store 支持。UST 涵盖微软公司销售的所有产品,以及其他一切通过企业,消费者与商业,数字与物理,订阅与交易进行的,经由所有渠道及店面销售的产品。”


他竟然将偷来的数字货币代金券打折出售

沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)窃取数字货币代金券的行为发生在2016年8月26日至2018年6月22日之间(他首先是一名承包商,后来在2017年12月1日才变成的微软正式员工),他在成功窃取了这些数字货币代金券之后,通过至少两个经销商在线上市场以折扣价转售,其中就包括nokeys.com和g2a.com。

这些第三方在购买了这些数字货币代金券之后,可以直接从微软官方商店购买虚拟商品或实物商品。

总的来说,微软在发现了沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)得窃取行为之后,只能通过数字货币代金券黑名单的形式“追回”大约价值180万美元的数字货币代金券,这也就意味着,微软将承受总计大约830万美元的财务损失。

沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)在出售数字货币代金券的时候,甚至还使用了chipmixer.com的服务,这是一个比特币服务网站,它可以帮助沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)隐藏他在出售了这些数字货币代金券之后所获得资金的来源以及去向,即他使用了chipmixer.com的服务来“xi钱”。除此之外,他还在Paxful 点对点加密货币交易平台上使用了Xbox礼品卡来购买比特币。害,这家伙简直了…当时,他大约将价值280万美元的比特币转入了自己的投资账户以及银行账户中,而这些“来历不明”的钱后来在伪造的纳税申报表中被写成了他亲戚赠送给他的礼物。

根据诉状,UST 成员负责在微软在线商店中设置虚拟账户,通过专门创建的电子邮件地址立足生产环境测试与信用卡的关联功能,从而在不产生实际费用的前提下进行产品购买。而后,沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)将其测试账户列入白名单,以绕过微软的安全与风险监测系统。

这也难怪,这位大哥在尝试了几次之后,发现公司并没有找他麻烦,收手是不可能的了。噢,不对,可能小编这里用词不当了!打工是不可能打工的,这辈子都不可能打工,直接去印钱就好了!欲壑难填的 Kvashuk 基础年薪为 11 万 6 千美元,但在2018年的3月份,沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)以大约16.2万美元的价格购买了一辆特斯拉汽车,而就在三个月后,即2018年的6月份,他又花了大约167.5万美元购买了一座莱顿湖畔旁的房子。

不过话说回来,微软毕竟是微软,1000万美元不见了两年才发现…


自己犯事儿,同事背锅?

最初,当他使用自己的测试账号非法购买数字货币代金券后,他转而使用了一些同事创建的测试账号来试图掩盖自己的违法行为,并在将来的调查活动中将调查人员引向了错误的调查方向。

司法部的调查人员表示,最初沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)利用自己的账户盗取了价值约1.2万美金的数字货币代金券,这个金额一开始还算比较小。但是随着盗窃数额不断上升到数百万美元的时候,沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)就开始使用他同事相关联的测试邮件账户了。

据了解,这些账户被他用来购买了较大份额的数字货币代金券,在对这些数字货币代金券进行了标记之后,微软并没有发现任何证据可以证明创建这些账户的两名员工以任何方式参与了未经授权的数字货币代金券购买活动。

后来,沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)还有这些资金购买了三张GeForce GTX 1070显卡,并通过联邦快递送到他的公寓大楼,不过他还算聪明,当时的具体快递地址并不是他家,而且用的也不是他自己的名字。但是,微软最终还是找到了他。

检察官表示,沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)的每一步计划都涉及到欺骗和违法,他利用了自己的测试账号窃取了大量的数字货币代金券,并且想办法让他的同事来背锅。而且在他接受调查的过程中,他并没有承认自己的错误,而是又扯出了一大堆令人难以置信的谎言。也就是说,他并没有为自己的行为感到一丝的悔恨。

目前,沃罗德米尔·克瓦舒克(Volodymyr Kvashuk)除了因欺诈相关的18项罪名被联邦法院判处了九年有期徒刑之外,还被判支付834万4千多美元的赔偿金。除此之外,他在服刑完之后还有可能被驱逐出境。


程序员的职业道德

实际上,无论从事任何行业,职业道德的遵守都是最基本的底线。但是对于IT行业内的程序员来说,IEEE(电气和电子工程师协会)曾制定过 IT 从业者的伦理准则,因为IEEE 的成员认识到我们的技术在影响全世界生活质量方面的重要性,并承认对我们的专业、成员和所服务的社区具备义务,特此承诺保证最高的道德和职业行为。其中包括但不仅限于:尽可能避免实际或可感知的利益冲突,并在存在时向受影响的各方披露;避免虚假或恶意行为伤害他人,财产,声誉或工作;协助同事的职业发展,并支持他们遵守职业道德准则等。

推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室