Як український тестувальник обікрав Microsoft

#Володимир_Квашук переїхав до США та влаштувався працювати у Microsoft у 2017 році. Його робочими обов'язками було тестування покупок у магазинах компанії. Він купував ноутбук Dell через сайт компанії і оплачував його спеціально створеною карткою (яка в реальності не існувала). Система робила покупку, надсилала повідомлення, але насправді гроші не списувалися, а замовлення не відвантажувалося. Адже всі ці дії були потрібні лише для тестування системи.

Взимку 2017 року Квашук виявив, що на відміну від купівлі фізичних товарів, на які система не реагувала, щоразу, коли він перевіряв купівлю подарункових карток, #Microsoft_Store видавав справжні подарункові коди. При цьому гроші також не списувалися і тестер міг генерувати практично необмежену кількість кодів.

Він зрозумів, що експериментальні облікові записи його команди були запрограмовані лише задля запобігання відправки підроблених покупок фізичних товарів, як-от ПК, планшети, клавіатури тощо.

Microsoft просто не планувала, що тестери цифрової роздрібної торгівлі замовлятимуть подарункові карти Xbox на роботі. Квашук міг би повідомити про вразливість свого начальства, але натомість він почав їх перепродувати.

Квашук почав із малого, створюючи #карти_Xbox із кроком від $10 до $100. Але на той час, коли федеральні агенти заарештували його майже через два роки, він вкрав понад 152 000 подарункових карток Xbox на суму $10,1 млн і жив на виручені гроші в будинку на березі озера з планами купити лижне шале, яхту і літак.

Щоб продавати справді багато подарункових сертифікатів у січні 2018 року, Квашук створив комп'ютерну програму PurchaseFlow.CS. За допомогою кількох клацань мишею у додатку він міг вибрати номінал подарункової картки (30, 75, 100), вихідну валюту (долари США, євро, британські фунти стерлінгів) та бажану кількість покупок.

Пізніше прокуратура повідомила, що програму було «створено з однією метою, і лише з однією метою: «автоматизувати розкрадання та допустити шахрайство та крадіжку у великих розмірах».

У якийсь момент Квашук досяг таких обсягів, що за заявою прокурорів, почав одноосібно впливати на глобальні коливання цін на подарункові карти Xbox на ринках реселерів. Коли ціни падали надто низько через надлишок кодів на ринку, він припиняв постачання, щоб ціна поверталася до колишніх значень.

Квашук купив червону #Tesla Model S за $162 899, а потім сучасний будинок за $1,675 млн. Свої невідповідні витрати він пояснював доходом від інвестування в #криптовалюти.

Квашук був дуже обережний. Зазвичай він із колегами перемикалися між парою фіктивних профілів, які вони реєстрували в магазині Microsoft. Ніхто з них особливо не турбувався про безпеку таких облікових записів, адже всім здавалося, що вони марні за межами робочого процесу. Щоб приховати свою особистість, Квашук використав чужі тестові логіни та маскував свій інтернет-трафік, спрямовуючи його через сервери в Японії та Росії.

Але в лютому 2018 р. служба внутрішньої безпеки Microsoft помітила незрозумілий сплеск онлайн-покупок з використанням кодів подарункових карток, який був приблизно вдвічі більшим за звичайний рівень.

У березні корпоративні слідчі простежили нерегулярну активність на двох внутрішніх тестових облікових записах, які належали співробітникам відділу продажу Microsoft. Вони дізналися, що облікові записи вже поглинули майже $8 млн у вигляді кодів, проданих на вторинному ринку.

Слідчі допитали співробітників, які стояли за цими тестовими обліковими записами, але вони виглядали приголомшеними жертвами, а не злочинцями. Microsoft визначила, що програма тестування під назвою Fiddler, яку співробітники використовували для надсилання звітів про помилки, містила дані, які розкривають логіни тестувальників. Ч.2 тут