В США арестовали украинца, который обокрал Microsoft на $10 млн

25-летний гражданин Украины нашел лазейку в защите и покупал на тестовые средства цифровую валюту, передает Depo.ua со ссылкой на НВ.

Владимир Квашук, 25 лет, гражданин Украины, который проживает в Рентоне, штат Вашингтон, был принят на работу в Microsoft в августе 2016 года, где он работал до тех пор, пока его не уволили в июне 2018 года. Квашук, согласно жалобе обвинения, поданной в федеральный окружной суд США в Сиэтле, был членом команды Universal Store Team (UST) Microsoft, которой поручено заниматься операциями электронной коммерции компании.

UST "является основным коммерческим механизмом Microsoft, целью которого является создание единого универсального магазина для всей коммерции в Microsoft", пояснил Сэм Гукенхаймер, владелец продукта для Azure DevOps в Microsoft, еще в 2017 году. "UST охватывает все, что Microsoft продает, и все остальные продают через компанию, потребительскую и коммерческую, цифровую и физическую, через все каналы и витрины".

Как описано в жалобе, члены UST настраивают фиктивные учетные записи клиентов в онлайн-магазине Microsoft, связанные со специально созданными адресами электронной почты и кредитными картами для проверки в процессе производства, для осуществления покупок в магазине без фактической оплаты. Затем члены группы вносят в белый список свои тестовые аккаунты, чтобы обойти системы безопасности Microsoft.

Но во время разработки своей системы тестирования Microsoft выпустила из виду существенный вектор атаки.

"Программа тестирования была разработана, чтобы заблокировать доставку физических товаров. Microsoft не ожидала, что тестеры сделают тестовые покупки цифровой валюты (CSV), и, таким образом, не были введены какие-либо меры для предотвращения доставки CSV".

Таким образом, менеджер может осуществлять тестовые покупки цифровых подарочных карт Microsoft, получая действительный ключ продукта. Зачисленные электронные средства могут использоваться для покупки цифровых или физических продуктов Microsoft в его магазине.

Как сообщает The Register, Квашук сам купил некоторые товары Microsoft, а также продал большую часть валюты — как утверждается, на $10 млн — третьим сторонам со скидкой к ее номинальной стоимости.

Схема предположительно началась в 2017 году и так хорошо сработала, что Квашук, получив базовую зарплату в $116 000 за год, купил себе Tesla за $162 000 и дом стоимостью $1,6 млн в Рентоне, штат Вашингтон.

Из-за резкого роста использования цифровой валюты, компания Microsoft организовала внутреннее расследование. К нему были подключены представители Секретной службы и Налогового управления США. Правоохранителями были отслежены цепочки аккаунтов и цифровых кошельков, которые указывали на Квашука.

Власть просила задержать Квашука, утверждая, что он может попытаться сбежать из страны или воспрепятствовать правосудию. В случае признания виновным в мошенничестве с почтой бывший инженер-программист Microsoft может быть приговорен к 20 годам тюремного заключения и штрафу.

Напомним, ранее Microsoft зафиксировал хакерские атаки из России