Иллюстрация / REUTERS

Экс-разработчик Microsoft использовал тестовый аккаунт, чтобы украсть $10 миллионов в цифровой валюте у своего бывшего работодателя.

25-летний гражданин Украины нашел лазейку в защите и покупал на тестовые средства цифровую валюту, сообщает Новое время со ссылкой на The Register.

Владимир Квашук, 25 лет, гражданин Украины, проживающий в Рентоне, штат Вашингтон, был принят на работу в Microsoft в августе 2016 года, где он работал до тех пор, пока его не уволили в июне 2018 года. Квашук, согласно жалобе обвинения, поданной в федеральный окружной суд США в Сиэтле, был членом команды Universal Store Team (UST) Microsoft, которой поручено заниматься операциями электронной коммерции компании.

Видео дня

UST "является основным коммерческим механизмом Microsoft, целью которого является создание единого универсального магазина для всей коммерции в Microsoft", объяснил Сэм Гукенхаймер, владелец продукта для Azure DevOps в Microsoft, еще в 2017 году. "UST охватывает все, что Microsoft продает, и все другие продают через компанию, потребительскую и коммерческую, цифровую и физическую, через все каналы и витрины".

Как описано в жалобе, члены UST настраивают фиктивные учетные записи клиентов в онлайн-магазине Microsoft, связанные со специально созданными адресами электронной почты и кредитными картами для проверки в процессе производства, для совершения покупок в магазине без фактической оплаты. Затем члены группы вносят в белый список свои тестовые учетные записи, чтобы обойти системы безопасности Microsoft.

Читайте такжеУкраинский IT сектор: дешевые человеко-часы оптом и в розницу

Но при разработке своей системы тестирования Microsoft упустила из виду существенный вектор атаки.

"Программа тестирования была разработана, чтобы заблокировать доставку физических товаров. Microsoft не ожидала, что тестеры сделают тестовые покупки цифровой валюты (CSV), и, таким образом, не было введено никаких мер предосторожности для предотвращения доставки CSV".

Таким образом, тестировщик может совершать тестовые покупки цифровых подарочных карт Microsoft, получая действительный ключ продукта. Зачисленные электронные средства могут затем использоваться для покупки цифровых или физических продуктов Microsoft в его магазине.

Утверждается, что Квашук сам купил некоторые товары Microsoft, а также продал большую часть валюты - как утверждается, на $10 млн - третьим сторонам со скидкой к ее номинальной стоимости.

Схема предположительно началась в 2017 году и обострилась до такой степени, что Квашук, получив базовую зарплату в $116 000 в год, купил себе Tesla за $162 000 и дом стоимостью $1,6 млн в Рентоне, штат Вашингтон.

Из-за резкого роста использования цифровой валюты, компания Microsoft организовала внутреннее расследование. В ходе расследования были подключены представители Секретной службы и Налогового управления США. Правоохранителями были отслежены цепочки аккаунтов и цифровых кошельков, которые указывали на Квашука.

Власти просили задержать Квашука, утверждая, что он может попытаться бежать из страны или воспрепятствовать правосудию. В случае признания виновным в мошенничестве с почтой бывший инженер-программист Microsoft может быть приговорен к 20 годам тюремного заключения и штрафу.

Напомним, ранее в Службе безопасности Украины сообщили, что ее сотрудники совместно с партнерами из США прекратили деятельность мощной хакерской группировки, организованной гражданином Украины, которое предоставляло услуги в "даркнеті" тысячам клиентов во всем мире.