QCon上海站购票倒计时最后3天!查看精彩日程 了解详情
写点什么

靠系统 bug 骗取超千万美元,微软一软件工程师锒铛入狱

2021 年 7 月 14 日

靠系统bug骗取超千万美元,微软一软件工程师锒铛入狱

据彭博社报道,微软一名工程师利用微软商店的系统 bug,盗取了超过 15.2 万张 Xbox 礼品卡,价值 1010 万美元。

改变“命运”的 bug


Volodymyr Kvashuk 是一名软件工程师,2017 年加入微软,其工作职责是负责测试电子商务基础设施。通过模拟在微软在线商店的购买行为,寻找支付系统中的故障。



他使用微软官方提供的虚假账户和虚假信用卡,来进行测试,并记录购买过程中发生的任何错误。这意味着他能进行大量的虚假购买。


由于他用的是特定的虚假账号,系统知道这次购买无效,理论上不会把商品派送出去。


但是,他在测试过程中发现一个系统 bug:


每当他测试购买 Xbox 礼品卡时,尽管使用的是虚假信用卡号码,但微软商店还是会发放真实的礼品卡——一串真实有效的 25 位卡密。


这意味着他可以无限生成 Xbox 礼品卡,并且还是免费的。


据悉,Xbox 礼品卡可以从微软商店(Microsoft Store)购买用于 Windows 和 Xbox 的设备、游戏、软件、应用和电影等,包括 Xbox 游戏软件、Windows 和 Office 软件,以及联想笔记本电脑、Sonos 等实物商品。当然,你还可以把它送给亲朋好友。



不过,Volodymyr Kvashuk 并未上报这个 bug,而是选择隐瞒,并利用它来赚钱。


他利用这个 bug 偷偷地生成 Xbox 礼品卡,10 美元、100 美元,规模从小到大。

犯罪流程


根据彭博社的报道,我们可以大致概括一下 Kvashuk 的犯罪流程:


  • 通过同事的账户(其中一个同事的密码是 VerySecret1),一次可以获得一大堆 Xbox 礼品卡;

  • 通过外国服务器重新路由这些请求,来隐藏购买地点;

  • 通过一个名为 Paxful.com 的网站将 Xbox 礼品卡转售为比特币;

  • 通过一个名为 ChipMixer.com 的网站实现了比特币交易的匿名性。


据悉,在这个过程中,Kvashuk 利用了诸多手段来谋取更多利益。由于凭空产生的 Xbox 礼品卡数额巨大,以至于对二级市场的 Xbox 礼品卡售价产生了波动性影响。



当市场上的 Xbox 礼品卡价格太低时,他就会暂停“出货”来营造饥渴的供需关系,进而操控整个 Xbox 礼品卡市场,一直等到价格回升再继续。

锒铛入狱,9 年监禁


虽然 Kvashuk 在这个过程中使用了高超的反侦察、反追踪和经济学手段,但是 2 年后,他被联邦特工抓获。


那时,他已经盗取了 15.2 万张 Xbox 礼品卡,价值 1010 万美元。同时,他在一栋价值七位数的湖滨别墅中靠这些收入生活,还打算购买滑雪小屋、游艇和水上飞机


去年 11 月,一名法官判处他九年监禁。他有可能在服刑至 2027 年 3 月后被遣返回老家乌克兰,并将不得不赔偿 830 万美元。


更多详情:


https://www.bloomberg.com/features/2021-microsoft-xbox-gift-card-fraud/

2021 年 7 月 14 日 16:583175
用户头像
万佳 InfoQ编辑

发布了 623 篇内容, 共 237.6 次阅读, 收获喜欢 1597 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

Spring Boot FatJar类加载机制简要分析

luojiahu

Spring Boot 类加载 ClassLoader FatJar

ARTS- 日常打卡5

pjw

基于 BDD 理论的 Nebula 集成测试框架重构(上篇)

Nebula Graph

你真的了解 “开源” 么?请查收【保姆级】开源百科

程序员鱼皮

Java c++ Python GitHub 开源

🏆大势所趋,迈向认识WebRTC的第一步,加油!

李浩宇/Alex

WebRTC RTC RTC征文大赛 6月日更

HarmonyOS 2正式发布 硬件生态品牌HarmonyOS Connect一同亮相

科技汇

分治(详解残缺棋盘 —— Java代码实现)

若尘

算法 分治 java代码 6月日更

k8s 插件管理工具之krew使用

雪雷

6月日更

智能炒币机器人系统开发案例解析,智能炒币机器人源码设计

系统开发咨询1357O98O718

《堂食点餐》APP前后端全部免费开源啦!

APICloud

源码 前端 APP开发 APICloud 外卖app

渣本毕业两年经验,精心整理

欢喜学安卓

android 程序员 面试 移动开发

我对技术潮流的一点看法

Phoenix

持续测试 | 让测试更自由:在 CODING 中实践自动化执行用例

CODING DevOps

自动化测试 CODING DevOps 持续测试

6月2日,讲一个鸿蒙的故事

这不科技

华为 鸿蒙

🔎【Java 源码探索】深入浅出的分析HashMap(JDK7)

李浩宇/Alex

Java hashmap 6月日更 JDK7

【Apache BookKeeper】 概念与架构

awen

Apache 分布式存储 bookKeeper

OpenKruise v0.9.0 版本发布:新增 Pod 重启、删除防护等重磅功能

阿里巴巴云原生

容器 运维 云原生 k8s

Tapdata 实时数据融合平台解决方案(五):落地

tapdata

大数据

我在InfoQ的处女篇,六一儿童节快乐

索隆

6月日更

情指勤一体化指挥调度平台搭建,情报研判分析系统搭建

13823153121

“扯皮”终结者,区块链帮农民工计薪水

CECBC区块链专委会

源码解读-别再说你不知道HashMap原理!面试真题解析

欢喜学安卓

android 程序员 面试 移动开发

Qcon大会百度智能云出招,AI-Native云计算架服务企业融合创新

百度大脑

人工智能 云计算 Qcon大会

BZZ节点挖矿系统搭建,BZZ矿机分币系统

13823153121

【Vue2.x 源码学习】第二篇 - Vue的初始化流程

Brave

源码 vue2 6月日更

​探讨AI+新模式,百度大脑提供纺织企业数字化转型新路径

百度大脑

AI 纺织企业

5分钟速读之Rust权威指南(十五)

码生笔谈

rust

面试系列-2 redis列表场景分析实践

我是阿沐

php 面试 redis cluster

手把手教你在IDEA中配置Maven

打工人!

Java maven 6月日更

架构实战营模块5作业

eoeoeo

架构实战营

你们公司的数据库出过问题么?

escray

学习 极客时间 朱赟的技术管理课 6月日更

靠系统bug骗取超千万美元,微软一软件工程师锒铛入狱-InfoQ