مهندس سابق مایکروسافت به اتهام سرقت ۱۰ میلیون دلار از آن شرکت بازداشت شد

جمعه ۲۸ تیر ۱۳۹۸ - ۱۱:۱۱
مطالعه 4 دقیقه
برنامه‌نویس سابق مایکروسافت با استفاده از یک حساب کاربری آزمایشی، ۱۰ میلیون دلار از اعتبارات فروشگاه آنلاین این غول فناوری سرقت کرد.
تبلیغات

دادستان ایالات متحده اعلام کردند که روز سه‌شنبه، مهندس سابق مایکروسافت را به اتهام کلاهبرداری ایمیلی و سرقت ۱۰ میلیون دلار ارز دیجیتال از کارفرمای سابق خود دستگیر کردند. ولادیمیر کواشوک (Volodymyr Kvashuk)، شهروند ۲۵ ساله‌ی اوکراینی ساکن واشنگتن، در گذشته به‌صورت پیمانکاری برای مایکروسافت مشغول به کار بود و در اوت سال ۲۰۱۶ به‌عنوان کارمند به‌طور رسمی در این شرکت فناوری استخدام شد. او در ژوئن ۲۰۱۸ از این شرکت اخراج شد.

طبق شکایتی که دادستانی در دادگاه فدرال سیاتل ثبت کرده است، کواشوک عضو تیم فروشگاه جهانی مایکروسافت (UST) بود و مسئولیت اداره‌ی عملیات‌های تجارت الکترونیک شرکت را به عهده داشت. سامت گوکنهایمر (Sam Guckenheimer)، مالک Azure DevOps در مایکروسافت سال ۲۰۱۷ اینگونه توضیح داده بود:

UST موتور تجاری اصلی مایکروسافت به‌شمار می‌آید که مأموریت دارد فروشگاه وان یونیورسال (One Universal) را وارد همه‌ی تجارت‌هایی که مایکروسافت در آن درگیر است، بکند. UST همه‌ی مواردی که مایکروسافت می‌فروشد و همه‌ی مواردی که دیگران از طریق شرکت به‌فروش می‌رسانند، اعم از مصرف‌کننده و اقلام تجاری، محصولات دیجیتال و فیزیکی، حق اشتراک و تراکنش‌های مالی را در تمام کانال‌ها و فروشگاه‌های جنبی خود شامل می‌شود.

همان‌طور که در متن این شکایت توضیح داده شده است، اعضای UST حساب‌های کاربری ساختگی به‌عنوان مشتری می‌ساختند که فروشگاه آنلاین مایکروسافت را به آدرس‌های ایمیل و کارت‌های اعتباری که ویژه‌ی این کار ساخته شده بود متصل می‌کرد. این کارت‌های اعتباری، مخصوص تست محصولات بودند، طوری که با استفاده از آن‌ها و بدون اینکه آن‌ها را واقعا شارژ کنند، از فروشگاه خرید می‌کردند. در ادامه، اعضای تیم برای اینکه بتوانند سیستم‌های امنیتی و کاهش ریسک مایکروسافت را دور بزنند، برای حساب‌های کاربری آزمایشی خود استثناهایی قائل شده بودند و یک فهرست مجاز از اینگونه حساب ها تهیه کرده بودند.

اما، مایکروسافت در طراحی سیستم تست خود از یک بردار مهم حمله غافل مانده بود. در متن شکایت آمده است:

برنامه‌ی تست طوری طراحی شده بود که از ارسال و تحویل کالاهای فیزیکی جلوگیری می‌کرد. ولی مایکروسافت، این موضوع را پیش‌بینی نکرده بود که آزمایش‌کننده‌ها ممکن است به‌صورت آزمایشی دست به خرید ارز دیجیتال (ارزش ذخیره‌شده‌ی ارزی دیجیتال یا CSV) بزنند و در نتیجه، هیچ اقدام امنیتی برای جلوگیری از تحویل CSV اندیشیده نشده بود.
مایکروسافت / Microsoft

بنابراین، هر کدام از این افراد می‌توانند گیفت‌کارت‌های دیجیتال مایکروسافت را به‌عنوان یک طرح آزمایشی بخرند و کد محصول معتبری به دست بیاورند که به اعتبار کیف دیجیتال مرتبط با حساب کاربری خریدار می‌افزود. آن‌ها مبلغ الکترونیکی اعتباریافته را می‌توانستند برای خرید محصولات فیزیکی یا دیجیتالی از فروشگاه مایکروسافت استفاده کنند.

ادعا می‌شود که کواشوک، ضمن خرید محصولات مایکروسافت بااستفاده از این اعتبار، بخش زیادی از آن را (که گفته می‌شود در حدود ۱۰ میلیون دلار ارزش داشت) به افراد دیگر فروخته است. او این فروش را با تخفیف و کمتر از ارزش اسمی آن انجام می‌داد. تصور می‌شود اجرای این طرح از سال ۲۰۱۷ آغاز شد و به‌قدری ادامه یافت که کواشوک که تنها ۱۱۶ هزار دلار در سال حقوق دریافت می‌کرد، توانست یک خودروی تسلای ۱۶۲ هزار دلاری و یک خانه‌ی یک میلیون و ۶۰۰ هزار دلاری برای خود در رنتون در ایالت واشنگتن بخرد.

مایکروسافت در طراحی سیستم تست خود هیچ طرح امنیتی برای جلوگیری از تحویل واقعی CSV نیندیشیده بود

طبق متن شکایت، تیم ویژه‌ی تحقیق درباره‌ی کلاهبرداری UST در مایکروسافت (FIST) که متوجه افزایش مشکوک در میزان استفاده از CSV برای خرید اشتراک برای ایکس‌باکس مایکروسافت در فوریه ۲۰۱۸ شده بود، کواشوک را از کار برکنار کرد. بازرسان موفق به ردیابی مبالغ دیجیتال شدند؛ این مبالغ در دو وب‌سایت مختلف و به دو حساب کاربری آزمایشی که در فهرست مجاز تعریف‌شده قرار داشتند، فروخته شده بود. با ادامه‌ی پیگیری‌های FIST، آن‌ها موفق به ردیابی حساب‌های کاربری و تراکنش‌ها شدند و سرانجام، با وجود همه‌ی مخفی‌کاری‌های کواشوک و با کمک سرویس مخفی ایالات متحده و سرویس درآمدهای داخلی، به این نتیجه رسیدند شخصی که مایکروسافت را فریب داده است، کسی نیست جز کواشوک. وی، برای پنهان نگه‌داشتن هویت خود، از حساب‌های کاربری ساختگی و نیز از یک سرویس ترکیبی بیت‌کوین برای آشکارنبودن تراکنش‌های بلاک‌چین عمومی استفاده کرده بود.

علاوه‌بر سوابق ارائه‌شده توسط خدمات‌دهندگان که مشخصا به کواشوک اشاره می‌کند، متن شکایت به این نکته اشاره می‌کند که فروشگاه آنلاین مایکروسافت از نوعی دستگاه برای ثبت اثرانگشت موسوم به فازی دیوایس آی‌دی (Fuzzy Device ID) استفاده می‌کند. ادعا می‌شود که بازرسان یک شناسه‌ی دستگاهی خاص را به حساب‌های مرتبط با کواشوک متصل کرده بودند. مقامات با این ادعا که امکان فرار وی از کشور یا ممانعتش از اجرای عدالت وجود دارد، خواهان بازداشت کواشوک شدند. اگر اتهام این مهندس نرم‌افزار سابق مایکروسافت درخصوص کلاهبرداری ایمیلی و دزدی از مایکروسافت ثابت شود، احتمالا به ۲۰ سال زندان و پرداخت ۲۵۰ هزار دلار جریمه محکوم خواهد شد.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات