Украинский тестировщик украл у Microsoft $10 млн с помощью карт Xbox

Невероятная история произошла в США

В 2020 году тестировщику из Украины, который работал в Microsoft, был вынесен приговор за кражу около $10 млн с помощью подарочных карт Xbox. Bloomberg опубликовал подробности этой истории.

Владимир Квашук работал в отделе интернет-магазина Microsoft. Он выискивал баги в работе платежной системы с помощью фиктивных покупок. Для этого тестировщики использовали специальные кредитные карты — через них система проводила заказ не до конца и до фактической доставки товара дело не доходило.

В 2017 году Квашук обнаружил, что после покупки с этой кредитки он получает специальный валидный код подарочной карты. Это значило, что он может генерировать бесконечное количество кодов, за которые не списываются деньги. О найденной уязвимости он не рассказал руководству, решив на ней заработать (ежегодная зарплата составляла $116 тыс.).



Тестировщик организовал подпольный бизнес по продаже таких кодов перекупщикам, которые платили за них в криптовалюте. Карты номиналом в $30, $50 и $75 можно было купить у него на 55% дешевле реальной цены. В какой-то момент Квашук начал сбывать такое огромное количество кодов, что это обрушило цены на подарочные карты Xbox на всем рынке.

Для удобства он даже создал специальную программу PurchaseFlow.CS — используя доступ к системе для тестировщиков, она генерировала такие коды не вручную, а автоматически. Для генерации также использовались аккаунты коллег, и, чтобы не «светить» свой профиль, Квашук узнал пароли от учетных записей других сотрудников. Сама генерация велась через прокси-серверы в Японии и России.

В итоге он создал бесплатных кодов на сумму в $10 млн. На полученные средства Квашук купил автомобиль Tesla Model S и дом на берегу озера за $1,6 млн. В его планах также была покупка яхты и гидросамолета. Бухгалтеру Квашук заявил, что биткоины — подарок от отца, а агенту, который участвовал в сделке с недвижимостью, он рассказал, что разбогател на криптовалюте.

Со временем схема начала сдавать сбой — не все коды, которые генерировались Квашуком, срабатывали. Взамен организатор подпольного бизнеса либо возвращал средства, либо предоставлял новые данные.

В Microsoft стали замечать странную активность. В феврале 2018 года специалисты по безопасности заметили необъяснимый всплеск онлайн-покупок с использованием кодов подарочных карт — он был примерно в два раза больше обычного уровня погашения. Они предположили, что взлом совершил «внешний злоумышленник», но вскоре поняли, что это была атака изнутри. В итоге служба внутренней безопасности корпорации в марте 2018 сумела найти аккаунты тестировщиков и заблокировать их. Однако установить кто именно пользовался системой им не удалось, так как тестировщиков было слишком много.

Microsoft прибегла к помощи бывшего детектива Скотланд-Ярда, специализирующегося на киберпреступлениях. Он обнаружил, что на одном из аккаунтов Квашука была совершена покупка трех видеокарт NVIDIA, которые были доставлены на несуществующий адрес. Изначально тестировщик все отрицал на допросе, однако позже признался, что действительно генерировал «левые» коды. Но это было якобы только для того, чтобы бесплатно покупать кино в магазине Microsoft.

В итоге доказать ничего не удалось, но из Microsoft Квашука уволили через месяц. Он съездил на отдых на Гавайи и нашел новую работу в Sinclair Broadcast Group Inc., а чуть позже его задержали агенты ФБР.

В доме представители ФБР совершили обыск и изъяли улики: крипто-ключи, флешки с сотнями тысяч кодов, $4 тысячи наличными и бумагу под названием «Как я буду тратить следующие десять миллионов», где были перечислены дома, яхты и многое другое. В феврале 2020 Квашука привлекли к суду, а Microsoft отозвала какую-то часть реализованных кодов, либо внесла их в черный список.



В феврале 2020 года федеральные прокуроры Западного округа Вашингтона привлекли Квашука к суду. Microsoft занесла в черный список многие украденные подарочные карты до их погашения, что сделало их бесполезными для торговых посредников, а IRS удалось отследить отмытые крипто-средства. Тем не менее, правительство отметило в материалах суда, что Квашук предпринял «шаги, чтобы скрыть денежный след от своего преступления. Он мог где-то спрятать миллионы».

На суде защита Квашука утверждала, что он якобы хотел помочь Microsoft. По мнению адвокатов, раздача кодов должна была поспособствовать популяризации Xbox и привести к увеличению следующих трат пользователей. Защита также отмечала, что Microsoft на самом деле ничего не потеряла, так как подарочные карты — это «ненастоящие деньги».

Однако суд не принял эти аргументы, и Квашука в итоге признали виновным по всем пунктам: отмывание денег, кража личных данных, мошенничество с использованием электронных писем, а также подача ложных налоговых деклараций. Он был приговорен к девяти годам лишения свободы с обязательством вернуть Microsoft $8,3 млн — остальные средства у него уже конфисковали. Вероятнее всего, после выхода на свободу в 2027 году тестировщика, организовавшего грандиозный подпольный бизнес, ждет депортация на родину.

Источник: Bloomberg

Обсудить