Екс-розробник Microsoft використовував тестовий акаунт, щоб вкрасти $10 мільйонів у цифровій валюті в свого колишнього роботодавця.
25-річний громадянин України знайшов лазівку в захисті і купував на тестові кошти цифрову валюту, повідомляє Новое время з посиланням на The Register.
Володимир Квашук, 25 років, громадянин України, який проживає в Рентоні, штат Вашингтон, був прийнятий на роботу в Microsoft в серпні 2016 року, де він працював до тих пір, поки його не звільнили в червні 2018 року. Квашук, згідно зі скаргою звинувачення, поданої до федерального окружного суду США в Сіетлі, був членом команди Universal Store Team (UST) Microsoft, якій доручено займатися операціями електронної комерції компанії.
UST “є основним комерційним механізмом Microsoft, метою якого є створення єдиного універсального магазину для всієї комерції в Microsoft”, пояснив Сем Гукенхаймер, власник продукту для Azure DevOps в Microsoft, ще в 2017 році. “UST охоплює все, що Microsoft продає, і всі інші продають через компанію, споживчу і комерційну, цифрову і фізичну, через всі канали і вітрини”.
Як описано в скарзі, члени UST налаштовують фіктивні облікові записи клієнтів в онлайн-магазині Microsoft, пов’язані зі спеціально створеними адресами електронної пошти та кредитними картами для перевірки в процесі виробництва, для здійснення покупок в магазині без фактичної оплати. Потім члени групи вносять в білий список свої тестові облікові записи, щоб обійти системи безпеки Microsoft.
Але під час розробки своєї системи тестування Microsoft випустила з уваги істотний вектор атаки.
“Програма тестування була розроблена, щоб заблокувати доставку фізичних товарів. Microsoft не очікувала, що тестери зроблять тестові покупки цифрової валюти (CSV), і, таким чином, не було введено ніяких запобіжних заходів для запобігання доставки CSV”.
Таким чином, тестувальник може здійснювати тестові покупки цифрових подарункових карт Microsoft, отримуючи дійсний ключ продукту. Зараховані електронні кошти можуть потім використовуватися для покупки цифрових або фізичних продуктів Microsoft в його магазині.
Стверджується, що Квашук сам купив деякі товари Microsoft, а також продав велику частину валюти – як стверджується, на $10 млн – третім сторонам зі знижкою до її номінальної вартості.
Схема імовірно почалася в 2017 році і так загострилася, що Квашук, отримавши базову зарплату в $116 000 на рік, купив собі Tesla за $162 000 і будинок вартістю $1,6 млн в Рентоні, штат Вашингтон.
Через різке зростання використання цифрової валюти, компанія Microsoft організувала внутрішнє розслідування. До нього були підключені представники Секретної служби і Податкового управління США. Правоохоронцями були відслідковані ланцюжки акаунтів і цифрових гаманців, які вказували на Квашука.
Влада просила затримати Квашука, стверджуючи, що він може спробувати втекти з країни або перешкодити правосуддю. У разі визнання винним в шахрайстві з поштою колишній інженер-програміст Microsoft може бути засуджений до 20 років тюремного ув’язнення і штрафу.
Джерело: УНІАН