Como um funcionário ucraniano roubou US $ 10 milhões da Microsoft

A Bloomberg publicou um artigo descrevendo como um cara comum da Ucrânia descobriu uma vulnerabilidade na Microsoft, o que lhe permitiu ganhar mais de US $ 10 milhões com a venda de cartões-presente do Xbox.

Vale-presente Xbox

Como tudo começou

O ucraniano Vladimir Kvashuk foi contratado pela Microsoft em 2017 como engenheiro júnior para testar a infraestrutura de e-commerce da empresa. O engenheiro testou o funcionamento dos serviços simulando pagamentos na loja online da Microsoft usando um cartão de crédito corporativo. O sistema processava compras, enviava notificações, mas apenas o dinheiro real não ia a lugar nenhum e as mercadorias compradas não eram enviadas – isso só era necessário para testar os sistemas de pagamento.

Vladimir Kvashuk

Ao verificar a compra de cartões-presente do Xbox, Kwashuk descobriu que o sistema estava gerando códigos funcionais de 25 dígitos. Em vez de relatar o bug, Kvashuk decidiu explorar a vulnerabilidade para seu próprio ganho financeiro.

O crime

No início, a fraude começou em pequena escala: códigos foram gerados em valores que variam de $ 10 a $ 100. Para esconder suas manipulações, o testador usou perfis falsos de seus colegas, adivinhando suas senhas, e também usou servidores remotos do Japão e da Rússia para mascarar seu tráfego de Internet.

Em janeiro de 2018, Kvashuk havia criado um programa de geração automática de códigos: bastava indicar a quantidade e o valor dos cartões-presente. Então, Kvashuk vendeu os códigos recebidos a granel para bitcoins.

Dois anos após o início da fraude, o valor dos cartões-presente do Xbox roubados (aproximadamente 152.000) era de US $ 10.1 Milhão de dolares.

Punição

Eventualmente, a Microsoft percebeu um surto de compras online usando códigos de cartão de presente para os quais a empresa não estava tendo lucro. No momento de sua prisão, Vladimir Kvashuk vivia em uma mansão à beira do lago, montava Tesla e, de acordo com seus próprios registros, planejava comprar um iate, um hidroavião e uma casa ainda mais cara.

Vladimir Kvashuk fez planos para o futuro

Em fevereiro de 2020, o fraudador foi condenado e sentenciado a nove anos de prisão, com a condição de que a Microsoft devolvesse $8,3 milhão. A Microsoft retirou alguns dos códigos, mas não foi possível encontrar todos os ativos de criptomoeda do invasor.

Depois de cumprir a pena, Kvashuk será deportado de volta para sua terra natal, a Ucrânia.