微软工程师利用职务之便“偷”Xbox礼品卡，价值超1000万美元，在湖边豪宅被抓

本文来自微信公众号“大数据文摘”（ID:BigDataDigest），36氪经授权发布。

之前文摘菌介绍了骗子利用科技公司保修策略，骗取价值一些大公司大概500万美元设备的故事。

今天我们来看个更猛的——一个微软工程师通过职务之便“偷窃”大量Xbox的礼品卡，搞了超过1000万美元。

当联邦探员在他的湖边豪宅逮捕他时，他已经偷了超过15.2万张Xbox礼品卡，数量之大甚至造成了Xbox礼品卡价值的全球波动。

让我们一起看看发生了什么。

从安全测试员到漏洞利用者，2年狂薅1010万美元礼品卡

接触过的人都知道，Xbox有礼品卡就是一串25个字母和数字，这些数字被称为5x5代码，是通过电子邮件发送的。

每个5x5代码对应一个美元的金额，比如DD9J9-MXXXC-3Y6XD-3QH2C-PWDWZ代码价值15美元，可以购买微软在线销售的任何产品——视频游戏、Windows软件、联想笔记本电脑、 Sonos扬声器等等。

我们故事的主角是微软的一名安全测试人员——Volodymyr Kvashuk，他的工作是测试公司的电子商务基础设施，具体来说，他主要模拟微软在线商店的购买行为，寻找支付系统中的小故障。

这意味着Kvashuk需要在商店里进行大量的虚拟购买，如果Kvashuk在他的购物车里添加了一台戴尔电脑，他就会使用微软提供的假信用卡，完成交易，并记录有没有错误。

按理来说，这种虚拟的交易不会真的发货，但是Kvashuk发现了一个可以改变他人生的漏洞。

这个漏洞如此愚蠢，以至于他根本不想向他的经理汇报——每当他测试购买的Xbox礼品卡，微软商店发送的是真的可以换钱的5x5代码！

在Kvashuk眼里，这哪是系统漏洞，这简直就是“聚宝盆”！

刚开始的时候，Kvashuk只是选择占点小便宜，生成从10美元到100美元不等Xbox礼品卡。

然而经过一段时间的测试，他发现根本没人管他。于是Kvashuk的贪婪膨胀了，当联邦探员逮捕他时，他在差不多两年时间里已经“偷”了超过15.2万张Xbox 礼品卡，价值超过1010万美元。

在被抓之前，Kvashuk买了一个七位数的湖边别墅，还计划买一个滑雪小屋、游艇和水上飞机。

去年11月，Kvashuk被法官判处9年有期徒刑。

生成了太多礼品卡，甚至造成了全球市场波动

目前还不清楚Kvashuk是什么时候发现微软安全系统的礼品卡漏洞的，但可以肯定的是在2017年的某个时候，也就是微软聘请他就职年薪11.6万美元的全职工程师的时候，他就发现微软根本没想到让数字购物测试员在工作中订购Xbox礼品卡。

Kvashuk和他的同事通常会在几个虚拟用户之间切换，这些用户是他们在微软商店团队用别名注册的，通常是敷衍了事的用户名和密码。

为了隐藏自己的身份，Kvashuk弄清了他同事的账号密码，并使用了他们的账号登录。在准备妥当后，Kvashuk在西雅图的公寓里开始“工作”，并通过日本和俄罗斯的服务器隐藏位置。在第一次测试后，几十个礼品卡代码立即出现，价值2000美元，然后是4200美元，然后是更多。

他最初的一次操作，可能是为了证明被盗礼品卡确实有价值，Kvashuk还购买了164.99美元的微软 Office 软件。

2018年1月，Kvashuk开发了一个计算机程序——PurchaseFlow.CS——用来加快生成礼品卡的速度。在应用程序中点击几下，他就可以选择礼品卡面额（30、75、100）、货币输出（美元、欧元、英镑）以及所需的购买次数。检察官后来说，这个程序“只有一个目的：实现挪用公款的自动化，允许大规模的欺诈和盗窃”。

Kvashuk在Paxful网站上以Grizzled Wolf的昵称销售礼品卡，Paxful是一个领先的加密货币礼品卡交易市场，交易货币通常是比特币，这个平台很受大量买家和卖家的欢迎，他们通过聊天信息进行物物交换。

在两年的时间里，Kvashuk在Paxful上卖掉了太多的5x5代码，以至于检察官表示，他对经市场上Xbox礼品卡价格的全球波动负有特别的责任。

事实上Kvashuk也是这么做的，当价格跌得太低时，Kvashuk就会停止供应，等待礼品卡供不应求时涨价了再卖。

被抓的时候在考虑如何花掉下一个1000万

去年三月，公司调查人员发现了微软商店团队员工的两个内部测试账户有不正常活动。他们了解到，这些账户已经生成了在Paxful和其他网站上销售的价值近800万美元的礼品卡代买。

调查人员把测试账户列入了黑名单，然后发现第三个账户在几天后开始购买代码，这个账户在微软封锁系统之前的26小时内又偷走了价值160万美元的Xbox礼品卡

根据4月17日的一份报告，调查人员询问了那些测试人员，发现他们看起来像是受惊的受害者，而不是罪犯。微软认定，一个名为Fiddler的测试程序包含了泄露数据的测试人员登录，任何有权限进入Fiddler程序的人都有可能黑进了账户，这表明偷礼品卡可能是其他雇员或承包商干的。

FIST团队求助于Andrew Cookson，此人在微软处理了近15年的员工渎职调查。Cookson是cotland Yard计算机犯罪部门的一名资深侦探，他很快锁定了一个新的嫌疑人: Volodymyr Kvashuk。

经过对数据的梳理，微软发现Kvashuk的一个测试账户在2017年非法购买了一些 Xbox 礼品卡。更可疑的是，Kvashuk与另一批被盗代码有关，这些代码曾被微软的网店用来购买三块高端的GeForce显卡。

2019年7月16日，联邦特工突袭了Kvashuk的湖边公寓，在微软将案件转交给联邦特工后，联邦特工对Kvashuk进行了调查。

他们搜查了Kvashuk的住所，发现了一批罪证，比如密码钱包、记有银行账户信息的笔记本、塞满了被盗的5x5密码的USB驱动器，以及大量现金，其中包括其妻子戴安娜的钱包里的4000多美元。

联邦特工还发现了一份用乌克兰文写在图纸上的Kvashuk未来投资清单。

这份名单显示，除了其他奢侈品之外，他还计划在毛伊岛买一套价值400万美元的房子，一套价值100万美元的房子，位于“滑雪缆车附近的山区”，还有“一艘游艇”。

名单的标题是: “我将如何管理我的下一个1000万”。

最终，Kvashuk被判处在监狱服刑到2027年3月，之后他很可能会被遣返回乌克兰，并且需要赔偿830万美元。