写点什么

靠系统 bug 骗取超千万美元,微软一软件工程师锒铛入狱

  • 2021 年 7 月 14 日
  • 本文字数:1044 字

    阅读完需:约 3 分钟

靠系统bug骗取超千万美元,微软一软件工程师锒铛入狱

据彭博社报道,微软一名工程师利用微软商店的系统 bug,盗取了超过 15.2 万张 Xbox 礼品卡,价值 1010 万美元。

改变“命运”的 bug


Volodymyr Kvashuk 是一名软件工程师,2017 年加入微软,其工作职责是负责测试电子商务基础设施。通过模拟在微软在线商店的购买行为,寻找支付系统中的故障。



他使用微软官方提供的虚假账户和虚假信用卡,来进行测试,并记录购买过程中发生的任何错误。这意味着他能进行大量的虚假购买。


由于他用的是特定的虚假账号,系统知道这次购买无效,理论上不会把商品派送出去。


但是,他在测试过程中发现一个系统 bug:


每当他测试购买 Xbox 礼品卡时,尽管使用的是虚假信用卡号码,但微软商店还是会发放真实的礼品卡——一串真实有效的 25 位卡密。


这意味着他可以无限生成 Xbox 礼品卡,并且还是免费的。


据悉,Xbox 礼品卡可以从微软商店(Microsoft Store)购买用于 Windows 和 Xbox 的设备、游戏、软件、应用和电影等,包括 Xbox 游戏软件、Windows 和 Office 软件,以及联想笔记本电脑、Sonos 等实物商品。当然,你还可以把它送给亲朋好友。



不过,Volodymyr Kvashuk 并未上报这个 bug,而是选择隐瞒,并利用它来赚钱。


他利用这个 bug 偷偷地生成 Xbox 礼品卡,10 美元、100 美元,规模从小到大。

犯罪流程


根据彭博社的报道,我们可以大致概括一下 Kvashuk 的犯罪流程:


  • 通过同事的账户(其中一个同事的密码是 VerySecret1),一次可以获得一大堆 Xbox 礼品卡;

  • 通过外国服务器重新路由这些请求,来隐藏购买地点;

  • 通过一个名为 Paxful.com 的网站将 Xbox 礼品卡转售为比特币;

  • 通过一个名为 ChipMixer.com 的网站实现了比特币交易的匿名性。


据悉,在这个过程中,Kvashuk 利用了诸多手段来谋取更多利益。由于凭空产生的 Xbox 礼品卡数额巨大,以至于对二级市场的 Xbox 礼品卡售价产生了波动性影响。



当市场上的 Xbox 礼品卡价格太低时,他就会暂停“出货”来营造饥渴的供需关系,进而操控整个 Xbox 礼品卡市场,一直等到价格回升再继续。

锒铛入狱,9 年监禁


虽然 Kvashuk 在这个过程中使用了高超的反侦察、反追踪和经济学手段,但是 2 年后,他被联邦特工抓获。


那时,他已经盗取了 15.2 万张 Xbox 礼品卡,价值 1010 万美元。同时,他在一栋价值七位数的湖滨别墅中靠这些收入生活,还打算购买滑雪小屋、游艇和水上飞机


去年 11 月,一名法官判处他九年监禁。他有可能在服刑至 2027 年 3 月后被遣返回老家乌克兰,并将不得不赔偿 830 万美元。


更多详情:


https://www.bloomberg.com/features/2021-microsoft-xbox-gift-card-fraud/

2021 年 7 月 14 日 16:583348
用户头像
万佳 InfoQ编辑

发布了 641 篇内容, 共 252.7 次阅读, 收获喜欢 1667 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

创业项目快速分析框架

boshi

创业 商业

技术应用丨DWS 空间释放(vacuum full) 最佳实践

华为云开发者社区

内存 存储 磁盘

关于Mysql常用数据类型的小抄

xzy

MySQL

华为工程师又爆一份“架构师宝典”,价值百万薪“史诗级”操作系统,送你备战金三银四要不要?

编程 程序员 计算机网络 操作系统

《华为数据之道》读书笔记:第 10 章 未来已来:数据成为企业核心竞争力

方志

数字化转型 数据治理

从零做网站开发:基于Flask和JQuery,实现表格管理平台

华为云开发者社区

jquery flask 框架

《迅雷链精品课》第九课:区块链P2P网络

迅雷链

区块链

深入了解进程间通信:System V信号量+共享内存

ShenDu_Linux

Linux 进程 内存管理 通信协议

Serverless 应用引擎的远程调试和云端联调

阿里巴巴云原生

Java Serverless 云原生 后端

数字货币将带来怎样的“革命”

CECBC

数字货币 货币

进一步深挖工业数据价值

CECBC

数据安全;工业互联网

测试过程中如何快速定位一个bug

测试人生路

软件测试

同步与异步,回调与协程

Linux服务器开发

线程 后端 协程 底层应用开发 Linux服务器开发

精彩回顾 | 一张图读懂OPPO应用与数据安全防护

OPPO安全

OPPO安全

Accept-Language是什么? 就在身边,你却没看见的“冷知识”系列(不定期偶遇)

八苦-瞿昙

随笔杂谈 HTTP

区块链在国际贸易领域应用的法律问题

CECBC

区块链

GO训练营第2周总结

Glowry

甲方日常 61

句子

工作 随笔杂谈 日常

LeetCode题解:455. 分发饼干,贪心while循环,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

「云原生上云」后的聚石塔是如何应对 双11 下大规模应用挑战的

阿里巴巴云原生

阿里云 云原生

爆买剁手之后,我们的快乐为什么越来越贬值?

脑极体

《视觉系统中的深度学习》PDF及源代码免费下载

计算机与AI

学习 计算机视觉

深入浅出 Go - sync.Pool 源码分析

helbing

Go 语言

在K8S/OpenShift上开发应用程序的14种最佳实践

东风微鸣

Kubernetes 最佳实践 k8s最佳实践 openshift

年轻人快来学习TCP 协议如何解决粘包、半包问题!

程序员小灰

c++ Linux TCP 后台开发 Linux服务器开发

OPPO技术开放日第六期丨OPPO安全解析“应用与数据安全防护”背后的技术

OPPO安全

OPPO安全

当居住空间被智能包裹:OTA智能社区改变了什么?

脑极体

浅谈互斥锁与进程间的通信(举例说明)

ShenDu_Linux

Linux 程序员 架构师 进程线程区别

架构第十一周作业

Nick~毓

大企软件系统问题多?归乡名企工程师:解决很简单,分分钟做个新系统

Learun

敏捷开发 快速开发 企业开发 CRM 企业应用

cncf serverless 所有项目全解读

coldTea214

云计算 Serverless 容器 cncf

靠系统bug骗取超千万美元,微软一软件工程师锒铛入狱-InfoQ