两年盗取 1000 万美元的 Xbox 礼品卡，这个人竟然是“内鬼”！

当有一天公司的安全工程师成为安全的 " 后门 " 时，后果有时难以想象。

Volodymyr Kvashuk 是一位从乌克兰移居美国的一位工程师，他长期从事计算机科学相关工作，于 2016 年 8 月加入微软，担任工程师，负责微软支付系统的安全工作。

据彭博社报道，Volodymyr Kvashuk 在微软担任工程师期间，监守自盗，利用职位之便，通过微软支付系统测试设备中的漏洞，以比特币形式出售大量的 Xbox 礼品卡，违规骗取超过 1000 万美元。最终在东窗事发之后，他不仅将面临数十年的监禁与高昂的罚款，还将被遣送回国，甚至他亲手了却了自己的计算机职业生涯。

从漏洞发现者变成入侵者

作为全球科技巨头之一，众所周知，微软的业务覆盖个人计算、智能云、生产力和企业流程等多方面，然而无论是哪一维度，安全均是其中不容忽略的重要板块。面向安全，微软为保障生态系统的安全，每年都会聘请一些优秀人才加入其中。

Volodymyr Kvashuk 是微软安全部门的一员，他的主要工作是 " 模拟 " 在其商店购买硬件设备时探寻微软处理支付方式是否存在漏洞。

在测试过程中，他发现当使用虚拟账号或公司内测的卡来购买硬件设备如 PC 电脑时，微软肯定不会向该虚拟账户发送实物产品。但是，当在线购买一些虚拟产品如 Xbox 礼品卡时，微软则会向对应的邮箱发送一个完全有效的 25 位礼品卡对应的号码（当前该系统已经被关闭）。

所谓有效，就是可以通过该 25 位由字母和数字组合起来的号码，直接领取真实的权益，譬如用于购买微软包括视频游戏、Office、Windows 软件等在线销售的任何一款产品。据悉，一个 25 位的礼品卡号码价值 15 美元。

通过测试，Volodymyr Kvashuk 发现这一过程存在明显的漏洞。按理来说，如果 Volodymyr Kvashuk 上报并让研发部门及时修复该漏洞，才应该是正确的选择，或许因此还能收到一笔奖金嘉奖，但是他却没有这么做，反而选择了隐瞒，并在 2017 年圣诞节前窃取了 20 张 15 美元的礼品卡号码，总价值为 300 美元。

当从尝到了 " 甜头 " 之后，Volodymyr Kvashuk 的 " 私心 " 一发不可收拾，正如彭博社报道：

Kvashuk 从小规模开始，以 10 美元到 100 美元增量生成 Xbox 卡，迅速获取利益。将近两年后，当联邦调查局的人找到他时，他已经偷走了超过 152,000 张 Xbox 礼品卡，价值 1,010 万美元。靠所得的收入住在湖畔一栋七位数的房子里，与此同时，他还计划购买滑雪小屋、游艇，和水上飞机等等。

‘贪污’自动化与‘交易’匿名化

在 " 盗取 " 有效礼品卡的过程中，Kvashuk 还找出了他同事的密码并使用了他们的测试账户名，利用微软在其他地区的服务器路由来掩盖他的身份与踪迹，当下测试订单后，他收到了数十个礼品卡号码，周而复始，他非法收益越来越多。

更胜的是，他还自己构建了一款名为 PurchaseFlow.CS 的应用程序，通过该应用，只要点几下，就可以选择礼品卡面额以及货币输出的种类如美元、欧元、英镑等，简单来看，基于 PurchaseFlow.CS 就可以自动执行 " 偷盗 " 流程。检察官后来将其描述为，" 该软件是为一个目的而创建，并且只有一个目的，即：使‘贪污’自动化并允许欺诈和大规模盗窃。"

当获得这些礼品卡后，Kvashuk 将前往 Paxful 等加密市场寻找潜在卖家。他会以相对折扣价格批量出售它们，然后买家会继续将其出售给想要使用这些礼品卡的人。之所以选择 Paxful 这样的平台，是因为该平台可以保持匿名交流与交易的方式。

" 东窗事发 "

最终，微软在注意到礼品卡交易量急剧增加后，发现了 Kvashuk 的不法行为，随即对 Kvashuk 做了辞退处理，并将其移交给警局。联邦警察在 2019 年 7 月在家中将其逮捕，同时警察在 Kvashuk 的家中还找到了带有银行账户信息的笔记本、包含多个礼品卡账号的 USB 驱动器，以及一张 " 我将如何管理我的下一个 1000 万 " 的计划清单，这张清单显示，Kvashuk 打算使用日后 " 偷 " 来的收益来买豪宅等，享受奢侈的生活。

182502esu6z8qoi6bze4tz.jpg (50.5 KB, 下载次数: 14)

下载附件  保存到相册

2021-7-4 18:25 上传

而回到最初，如果 Kvashuk 选择上报漏洞，一切又将不一样。