微軟工程師發現測試漏洞、偷走大量Xbox禮品卡序號，2年暗槓1010萬美元

之前曾經有騙子利用科技公司保固策略，騙取價值大公司500萬美元設備的故事。今天我們來看個更猛的——一個微軟工程師透過職務之便「偷竊」大量Xbox的禮品卡，弄了超過1000萬美元。

當聯邦探員在他的湖邊豪宅逮捕他時，他已經偷竊了超過15.2萬張Xbox禮品卡，數量之大甚至造成了Xbox禮品卡價值的全球波動。

讓我們一起看看發生了什麼。

從安全測試員到漏洞利用者，2年暗槓1010萬美元禮品卡

接觸過的人都知道，Xbox有禮品卡就是一串25個字母和數字，這些數字被稱為5x5代碼，是透過電子郵件發送的。

每個5x5代碼對應一個美元的金額，比如DD9J9-MXXXC-3Y6XD-3QH2C-PWDWZ代碼價值15美元，可以購買微軟網路商店銷售的任何產品——遊戲、Windows軟體、筆電、 喇叭等等。

我們故事的主角是微軟的一名安全測試人員——Volodymyr Kvashuk，他的工作是測試公司的電子商務基礎設施，具體來說，他主要模擬微軟網路商店的購買行為，尋找支付系統中的小故障。

這意味著Kvashuk需要在商店裡進行大量的虛擬購買，如果Kvashuk在他的購物車裡加入了一台戴爾電腦，他就會使用微軟提供的假信用卡，完成交易，並記錄有沒有錯誤。

按理來說，這種虛擬的交易不會真的發貨，但是Kvashuk發現了一個可以改變他人生的漏洞。

這個漏洞如此愚蠢，以至於他根本不想向他的經理匯報——每當他測試購買的Xbox禮品卡，微軟商店發送的是真的可以換錢的5x5代碼！

在Kvashuk眼裡，這哪是系統漏洞，這簡直就是「聚寶盆」！

剛開始的時候，Kvashuk只是選擇佔點小便宜，產生從10美元到100美元不等Xbox禮品卡。

然而經過一段時間的測試，他發現根本沒人管他。於是Kvashuk的貪婪膨脹了，當聯邦探員逮捕他時，他在差不多兩年時間裡已經「偷」了超過15.2萬張Xbox 禮品卡，價值超過1010萬美元。

在被抓之前，Kvashuk買了一個七位數的湖邊別墅，還計劃買一個滑雪小屋、遊艇和水上飛機。

去年11月，Kvashuk被法官判處9年有期徒刑。

製作了太多禮品卡，甚至造成了全球市場波動

目前還不清楚Kvashuk是什麼時候發現微軟安全系統的禮品卡漏洞的，但可以確定的是在2017年的某個時候，也就是微軟聘請他就職年薪11.6萬美元的全職工程師的時候，他就發現微軟根本沒想到讓數字購物測試員在工作中訂購Xbox禮品卡。

Kvashuk和他的同事通常會在幾個虛擬帳戶之間切換，這些使用者帳戶是他們在微軟商店團隊用別名註冊的，通常是敷衍了事的使用者名稱和密碼。

為了隱藏自己的身份，Kvashuk得知了他同事的帳號密碼，並使用了他們的帳號登入。在準備妥當後，Kvashuk在西雅圖的公寓裡開始「工作」，並透過日本和俄羅斯的伺服器隱藏位置。在第一次測試後，幾十個禮品卡代碼立即出現，價值2000美元，然後是4200美元，然後是更多。

他最初的一次操作，可能是為了證明被盜禮品卡確實有價值，Kvashuk還購買了164.99美元的微軟Office軟體。

2018年1月，Kvashuk開發了一個電腦程式——PurchaseFlow.CS——用來加快產生禮品卡的速度。在應用程式中點擊幾下，他就可以選擇禮品卡面額（30、75、100）、貨幣輸出（美元、歐元、英鎊）以及所需的購買次數。檢察官後來說，這個程式「只有一個目的：實現挪用公款的自動化，允許大規模的欺詐和盜竊」。

Kvashuk在Paxful網站上以Grizzled Wolf的暱稱銷售禮品卡，Paxful是一個領先的加密貨幣禮品卡交易市場，交易貨幣通常是比特幣，這個平台很受大量買家和賣家的歡迎，他們透過聊天訊息進行物物交換。

在兩年的時間裡，Kvashuk在Paxful上賣掉了太多的5x5代碼，以至於檢察官表示，他對經市場上Xbox禮品卡價格的全球波動負有特別的責任。

事實上Kvashuk也是這麼做的，當價格跌得太低時，Kvashuk就會停止供應，等待禮品卡供不應求時漲價了再賣。

被抓的時候在考慮如何花掉下一個1000萬

去年三月，公司調查人員發現了微軟商店團隊員工的兩個內部測試帳號有不正常活動。他們了解到，這些帳號已經產生了在Paxful和其他網站上銷售的價值近800萬美元的禮品卡代買。

調查人員把測試帳戶列入了黑名單，然後發現第三個帳戶在幾天後開始購買代碼，這個帳戶在微軟封鎖系統之前的26小時內又偷走了價值160萬美元的Xbox禮品卡

根據4月17日的一份報告，調查人員詢問了那些測試人員，發現他們看起來像是受驚的受害者，而不是罪犯。微軟認定，一個名為Fiddler的測試程式包含了洩露數據的測試人員登入，任何有權限進入Fiddler程式的人都有可能駭進了帳戶，這表明偷禮品卡可能是其他僱員或承包商幹的。

FIST團隊求助於Andrew Cookson，這個人在微軟處理了近15年的員工瀆職調查。Cookson是cotland Yard電腦犯罪部門的一名資深偵探，他很快鎖定了一個新的嫌疑人: Volodymyr Kvashuk。

經過對資料的整理，微軟發現Kvashuk的一個測試帳號在2017年非法購買了一些Xbox禮品卡。更可疑的是，Kvashuk與另一批被盜代碼有關，這些代碼曾被微軟的網店用來購買三塊高階的GeForce顯卡。

2019年7月16日，聯邦幹員突襲了Kvashuk的湖邊公寓，在微軟將案件轉交給聯邦幹員後，聯邦幹員對Kvashuk進行了調查。

他們搜查了Kvashuk的住所，發現了一批罪證，比如密碼錢包、記有銀行帳戶訊息的電筆、塞滿了被盜的5x5密碼的USB驅動器，以及大量現金，其中包括其妻子戴安娜的錢包裡的4000多美元。

聯邦幹員還發現了一份用烏克蘭文寫在紙上的Kvashuk未來投資清單。

這份名單顯示，除了其他奢侈品之外，他還計劃在茂宜島買一套價值400萬美元的房子，一套價值100萬美元的房子，位於「滑雪纜車附近的山區」，還有「一艘遊艇」。

名單的標題是:「我將如何管理我的下一個1000萬」。

最終，Kvashuk被判處在監獄服刑到2027年3月，之後他很可能會被遣返烏克蘭，並且需要賠償830萬美元。

• 資料來源：ROBBING THE XBOX VAULT: INSIDE A $10 MILLION GIFT CARD CHEAT
• 本文授權轉載自大數據文摘