Издание Bloomberg опубликовало статью, рассказывающую о том, как обычный парень из Украины нашел уязвимость в Microsoft, которая позволила ему заработать более $10 миллионов на продажах подарочных карт для Xbox.
Как всё началось
Украинец Владимир Квашук был нанят в Microsoft в 2017 году в качестве младшего инженера для тестирования инфраструктуры электронной коммерции компании. Инженер тестировал работу сервисов имитируя платежи в интернет-магазине Microsoft с помощью корпоративной кредитки. Система обрабатывала покупки, присылала уведомления, но только реальные деньги никуда не уходили, а купленный товар не отгружался – это нужно было лишь для тестирования платежных систем.
Во время проверки покупки подарочных карт Xbox Квашук обнаружил, что система генерировала рабочие 25-значные коды. Вместо того, чтобы сообщать об ошибке, Квашук решил использовать уязвимость для собственной финансовой выгоды.
Преступление
Сперва мошенничество началось в небольшом масштабе: коды генерировались на сумму от $10 до $100. Чтобы скрыть свои манипуляции, тестировщик использовал фиктивные профили своих коллег, угадывая их пароли, а также использовал удалённые серверы из Японии и России для маскировки своего интернет-трафика.
К январю 2018 года Квашук создал программу для автоматической генерации кодов: в ней нужно было лишь указать количество и стоимость подарочных карт. Затем Квашук продавал полученные коды оптом за биткоины.
Через два года после начала мошенничества стоимость украденных подарочных карт Xbox (около 152 000) составила $10,1 миллионов долларов.
Наказание
В конце концов Microsoft заметила вспышку онлайн-покупок с использованием кодов подарочных карт, за которые компания не получала прибыль. На момент задержания Владимир Квашук жил в особняке у озера, ездил на Тесле и, согласно его же записям, планировал купить яхту, гидросамолёт и ещё более дорогой дом.
В феврале 2020 года мошенник был осуждён и проговорён к девяти годам лишения свободы, с условием вернуть Microsoft $8,3 миллиона. Microsoft отозвала какую-то часть кодов, но найти все криптовалютные активы злоумышленника так и не удалось.
После отбытия наказания Квашук будет депортирован обратно на родину, в Украину.
