Подарочная карта Xbox — это ключ из 25 символов, который при активации в цифровых магазинах компании Microsoft, пополняет кошелек пользователя на некоторую сумму в долларах. Эти деньги можно потратить на приобретение любой продукции компании — видеоигр, программного обеспечения Office и Windows и тд.

Как сообщает Bloomberg, эти подарочные коды зачастую продавались в несколько раз дешевле их стоимости на вторичном рынке. А происходило это из-за украинца Владимира Квашука, который живя в США и являясь сотрудником Microsoft, получил неограниченный доступ к генерации таких кодов.


Тестирование системы покупок таки нашло уязвимость

Владимир Квашук переехал в США и устроился работать в Microsoft в 2017 году. Его рабочими обязанностями было тестирование покупок в магазинах компании. Он «покупал» ноутбук Dell через сайт компании и оплачивал его специально созданной картой (которая в реальности не существовала). Система совершала покупку, присылала уведомления, но в действительности деньги не списывались, а заказ не отгружался. Ведь все эти действия нужны были лишь для тестирования системы.

Зимой 2017 года Квашук обнаружил, что в отличие от покупки физических товаров, на которые система не реагировала, всякий раз, когда он проверял покупку подарочных карт, Microsoft Store выдавал настоящие подарочные коды. При этом деньги все также не списывались и тестер мог генерировать практически неограниченное количество кодов.

Он понял, что экспериментальные учетные записи его команды были запрограммированы только для предотвращения отправки поддельных покупок физических товаров, таких как ПК, планшеты, клавиатуры и тд. Microsoft просто не планировала, что тестеры цифровой розничной торговли будут заказывать подарочные карты Xbox на работе. Квашук мог бы сообщить об уязвимости своему начальству, но вместо этого он начал их перепродавать.

Подпольный бизнес, влияющий на мировые цены сертификатов

Квашук начал с малого, создавая карты Xbox с шагом от $10 до $100. Но к тому времени, когда федеральные агенты арестовали его почти два года спустя, он украл более 152 000 подарочных карт Xbox на сумму $10,1 млн и жил на вырученные деньги в доме на берегу озера с планами купить лыжное шале, яхту, и самолет.

Что бы продавать действительно много подарочных сертификатов в январе 2018 года Квашук создал компьютерную программу PurchaseFlow.CS. С помощью нескольких щелчков мышью в приложении он мог выбрать номинал подарочной карты (30, 75, 100), выходную валюту (доллары США, евро, британские фунты стерлингов) и желаемое количество покупок. Позже прокуратура сообщила, что программа была «создана с одной целью, и только с одной целью: «автоматизировать хищение и допустить мошенничество и воровство в крупных размерах».

В какой-то момент Квашук, достиг таких объемов, что по заявлению прокуроров, начал единолично влиять на глобальные колебания цен на подарочные карты Xbox на рынках реселлеров. Когда цены падали слишком низко из-за переизбытка кодов на рынке, он прекращал поставки, чтобы цена возвращалась к прежним значениям.

Квашук купил красную Tesla Model S за $162 899, а затем современный дом за $1,675 млн. Свои несоразмерные траты он объяснял доходом от инвестирования в криптовалюты.

Microsoft знала об утечке, но не могла вычислить мошенника

Квашук был очень осторожен. Обычно он с коллегами переключались между парой фиктивных профилей, которые они регистрировали в магазине Microsoft. Никто из них особо не беспокоился о безопасности таких аккаунтов, ведь всем казалось, что они бесполезны за пределами рабочего процесса. Чтобы скрыть свою личность, Квашук использовал чужие тестовые логины и маскировал свой интернет-трафик, направляя его через серверы в Японии и России.

Но в феврале 2018 служба внутренней безопасности Microsoft заметила необъяснимый всплеск онлайн-покупок с использованием кодов подарочных карт, который был примерно в два раза больше обычного уровня. Сотрудники, занимавшиеся расследованием, предположили, что взлом совершил «внешний злоумышленник», но вскоре поняли, что это была внутренняя работа.

В марте корпоративные следователи проследили нерегулярную активность на двух внутренних тестовых учетных записях, принадлежавшим сотрудникам отдела продаж Microsoft. Они узнали, что учетные записи уже поглотили почти $8 млн в виде кодов, которые были проданы на вторичном рынке.

Следователи допросили сотрудников, стоящих за этими тестовыми аккаунтами, но они выглядели ошеломленными жертвами, а не преступниками. Microsoft определила, что программа тестирования под названием Fiddler, которую сотрудники использовали для отправки отчетов об ошибках, содержала данные, раскрывающие логины тестировщиков. Любой, у кого есть доступ к Fiddler, мог взломать эти учетные записи.

Вскоре компания обнаружила, что на одном из аккаунтов Квашука была совершена покупка трёх видеокарт от Nvidia, которые были доставлены на несуществующий адрес. На допросе он признался, что действительно генерировал около 600 кодов, но только чтобы бесплатно покупать кино в магазине Microsoft. Четыре недели спустя Microsoft уволила Квашука.

ФБР, обыски и тюремный срок

Для, казалось бы, искушенного инженера, Квашук совершил множество ошибок новичка. Хотя он скрыл свой адрес через международные серверы, он использовал тот же компьютер на базе Linux с той же устаревшей версией браузера Firefox, чтобы совершить кражу кодов. Кроме того лицензия Microsoft Office, которую он купил в начале своей аферы, была зарегистрирована в административной учетной записи SearchDom, его стартапа. Эти косвенные улики и позволили Microsoft связать его с преступлением. 

Вскоре федеральные агенты, которые проводили собственное расследование в отношении Квашука после того, как Microsoft передала им дело, провели обыск в его доме и обнаружили массу компрометирующих улик, таких как ключи от криптокошелька, записные книжки с информацией о банковском счете, USB-накопители, набитые украденными кодами и множество наличных денег.

Агенты также нашли список Квашука, куда он вносил свои будущие инвестиции. Список был написан на украинском языке и назывался «Як я розпоряджуся своїми наступними десятьмя мільйонами».

Изображение: Bloomberg

В феврале 2020 года федеральные прокуроры Западного округа Вашингтона привлекли Квашука к суду по обвинению в отмывании денег, краже личных данных, мошенничестве с использованием почты, а также в подаче ложных налоговых деклараций.

Адвокаты Квашука утверждали, что их клиент не собирался никого обманывать. Он сгенерировал коды подарочных карт, чтобы помочь компании, потому что чем больше бесплатных подарков Xbox раздает, тем популярнее будет платформа, что приведет к увеличению общих расходов.

Судья и присяжные сочли его защиту смешной и признали его виновным по всем пунктам обвинения. Он, вероятно, будет депортирован обратно в Украину после отбытия срока в тюрьме до марта 2027 года и должен будет вернуть 8,3 миллиона долларов.