A Bloomberg publicou um artigo descrevendo como um cara comum da Ucrânia descobriu uma vulnerabilidade na Microsoft, o que lhe permitiu ganhar mais de US $ 10 milhões com a venda de cartões-presente do Xbox.
Como tudo começou
O ucraniano Vladimir Kvashuk foi contratado pela Microsoft em 2017 como engenheiro júnior para testar a infraestrutura de e-commerce da empresa. O engenheiro testou o funcionamento dos serviços simulando pagamentos na loja online da Microsoft usando um cartão de crédito corporativo. O sistema processava compras, enviava notificações, mas apenas o dinheiro real não ia a lugar nenhum e as mercadorias compradas não eram enviadas – isso só era necessário para testar os sistemas de pagamento.
Ao verificar a compra de cartões-presente do Xbox, Kwashuk descobriu que o sistema estava gerando códigos funcionais de 25 dígitos. Em vez de relatar o bug, Kvashuk decidiu explorar a vulnerabilidade para seu próprio ganho financeiro.
O crime
No início, a fraude começou em pequena escala: códigos foram gerados em valores que variam de $ 10 a $ 100. Para esconder suas manipulações, o testador usou perfis falsos de seus colegas, adivinhando suas senhas, e também usou servidores remotos do Japão e da Rússia para mascarar seu tráfego de Internet.
Em janeiro de 2018, Kvashuk havia criado um programa de geração automática de códigos: bastava indicar a quantidade e o valor dos cartões-presente. Então, Kvashuk vendeu os códigos recebidos a granel para bitcoins.
Dois anos após o início da fraude, o valor dos cartões-presente do Xbox roubados (aproximadamente 152.000) era de US $ 10.1 Milhão de dolares.
Punição
Eventualmente, a Microsoft percebeu um surto de compras online usando códigos de cartão de presente para os quais a empresa não estava tendo lucro. No momento de sua prisão, Vladimir Kvashuk vivia em uma mansão à beira do lago, montava Tesla e, de acordo com seus próprios registros, planejava comprar um iate, um hidroavião e uma casa ainda mais cara.
Em fevereiro de 2020, o fraudador foi condenado e sentenciado a nove anos de prisão, com a condição de que a Microsoft devolvesse $8,3 milhão. A Microsoft retirou alguns dos códigos, mas não foi possível encontrar todos os ativos de criptomoeda do invasor.
Depois de cumprir a pena, Kvashuk será deportado de volta para sua terra natal, a Ucrânia.