Hôm vừa rồi Bloomberg có một bài viết phóng sự rất chi tiết kể câu chuyện của một kỹ sư người Ukraine của Microsoft, Volodymyr Kvashuk, người vừa bị kết án 9 năm tù giam vì tội chiếm đoạt 10 triệu USD tiền thẻ gift card cho người dùng dịch vụ chơi game của Xbox. Người này đã lợi dụng lỗ hổng trong khâu quản lý, cụ thể hơn là cơ chế mô phỏng quy trình mua và tạo đoạn mã 25 ký tự của gift code cho phép anh em mua game hoặc tay cầm Xbox.
Để đảm bảo hệ thống mua sắm này vận hành chính xác, Microsoft phải thuê kỹ sư để “mô phỏng” quá trình mua thẻ của người dùng. Sau khi về làm việc cho Microsoft vào năm 2017, Kvashuk đã phát hiện ra rằng, mặc dù hệ thống vẫn nhận diện được tài khoản và không cho phép mua bán sản phẩm ảo như key game bản quyền, nhưng lỗ hổng khó tin là nếu những tài khoản của nhân viên Microsoft thực hiện lệnh tạo mã Xbox Gift Card, thì 25 ký tự ngẫu nhiên trả về là hoàn toàn hợp lệ, có thể dùng nạp vào tài khoản, hoặc trong trường hợp của Kvashuk, là đem bán kiếm lời.
Thay vì báo cáo cho cấp trên, thì Kvashuk lại có ý tưởng khác. Và thế là trong suốt 2 năm trời, người này đã liên tục tạo ra những đoạn code của Xbox Gift Card để bán kiếm lời. Ban đầu cẩn thận, anh ta chỉ tạo ra những code có giá trị 5 đến 10 USD. Nhưng rồi lòng tham thì vô đáy, và Kvashuk bắt đầu chuyển qua những tài khoản thử nghiệm của những đồng nghiệp khác để che giấu hành vi của bản thân, viết cả phần mềm để tự động tạo những đoạn ký tự có giá trị. Phần mềm này bị các công tố viên mô tả là “được tạo ra với một mục đích duy nhất: Để tự động biển thủ và cho phép lừa đảo chiếm đoạt tài sản ở quy mô cực lớn.”
Tạo ra được code rồi thì phải tiêu thụ, và Kvachuk chọn những nền tảng thương mại điện tử thanh toán bằng tiền ảo để tìm kiếm khách hàng mua thẻ nạp Xbox với số lượng lớn, chiết khấu cao. Sau đó những trang web rửa tiền như ChipMixer cho phép Kvashuk giấu tung tích bản thân, để không bị phát hiện. Theo Bloomberg, khoản tiền khổng lồ mà Kvashuk chiếm đoạt được cho phép anh ta sở hữu cả một chiếc máy bay, một chiếc du thuyền, vài căn nhà xa xỉ ở Maui, California cùng nhiều nơi khác.
Thế rồi Microsoft phát hiện ra hành vi đáng ngờ của kỹ sư mà họ thuê sau khi nhận thấy biến động quá lớn trong lượng giao dịch Xbox Gift Card và mở cuộc điều tra. Đến tháng 7/2019, điều tra viên liên bang khám nhà Kvashuk và bắt giữ anh này. Tại tòa, anh ta bào chữa rằng khối tài sản khổng lồ dưới dạng mã thẻ game được thực hiện đơn giản chỉ là một thử nghiệm để kích thích mọi người tăng chi tiêu cho Xbox, làm lợi cho Microsoft. Dĩ nhiên thẩm phán không chấp nhận lời bào chữa này, và kết án Kvashuk 9 năm tù giam, phạt bồi thường 8,3 triệu USD, và có thể sẽ bị trục xuất về Ukraine sau khi chấp hành xong án tù giam.
Theo Bloomberg, PCGamer
Để đảm bảo hệ thống mua sắm này vận hành chính xác, Microsoft phải thuê kỹ sư để “mô phỏng” quá trình mua thẻ của người dùng. Sau khi về làm việc cho Microsoft vào năm 2017, Kvashuk đã phát hiện ra rằng, mặc dù hệ thống vẫn nhận diện được tài khoản và không cho phép mua bán sản phẩm ảo như key game bản quyền, nhưng lỗ hổng khó tin là nếu những tài khoản của nhân viên Microsoft thực hiện lệnh tạo mã Xbox Gift Card, thì 25 ký tự ngẫu nhiên trả về là hoàn toàn hợp lệ, có thể dùng nạp vào tài khoản, hoặc trong trường hợp của Kvashuk, là đem bán kiếm lời.
Thay vì báo cáo cho cấp trên, thì Kvashuk lại có ý tưởng khác. Và thế là trong suốt 2 năm trời, người này đã liên tục tạo ra những đoạn code của Xbox Gift Card để bán kiếm lời. Ban đầu cẩn thận, anh ta chỉ tạo ra những code có giá trị 5 đến 10 USD. Nhưng rồi lòng tham thì vô đáy, và Kvashuk bắt đầu chuyển qua những tài khoản thử nghiệm của những đồng nghiệp khác để che giấu hành vi của bản thân, viết cả phần mềm để tự động tạo những đoạn ký tự có giá trị. Phần mềm này bị các công tố viên mô tả là “được tạo ra với một mục đích duy nhất: Để tự động biển thủ và cho phép lừa đảo chiếm đoạt tài sản ở quy mô cực lớn.”
Tạo ra được code rồi thì phải tiêu thụ, và Kvachuk chọn những nền tảng thương mại điện tử thanh toán bằng tiền ảo để tìm kiếm khách hàng mua thẻ nạp Xbox với số lượng lớn, chiết khấu cao. Sau đó những trang web rửa tiền như ChipMixer cho phép Kvashuk giấu tung tích bản thân, để không bị phát hiện. Theo Bloomberg, khoản tiền khổng lồ mà Kvashuk chiếm đoạt được cho phép anh ta sở hữu cả một chiếc máy bay, một chiếc du thuyền, vài căn nhà xa xỉ ở Maui, California cùng nhiều nơi khác.
Thế rồi Microsoft phát hiện ra hành vi đáng ngờ của kỹ sư mà họ thuê sau khi nhận thấy biến động quá lớn trong lượng giao dịch Xbox Gift Card và mở cuộc điều tra. Đến tháng 7/2019, điều tra viên liên bang khám nhà Kvashuk và bắt giữ anh này. Tại tòa, anh ta bào chữa rằng khối tài sản khổng lồ dưới dạng mã thẻ game được thực hiện đơn giản chỉ là một thử nghiệm để kích thích mọi người tăng chi tiêu cho Xbox, làm lợi cho Microsoft. Dĩ nhiên thẩm phán không chấp nhận lời bào chữa này, và kết án Kvashuk 9 năm tù giam, phạt bồi thường 8,3 triệu USD, và có thể sẽ bị trục xuất về Ukraine sau khi chấp hành xong án tù giam.
Theo Bloomberg, PCGamer