Станіслав Троянов
У листопаді минулого року у США засудили колишнього співробітника Microsoft, 26-річного українця Володимира Кващука, до дев’яти років позбавлення волі. Він переїхав до США у 2015 році й через декілька років почав працювати тестувальником Microsoft Store. Під час роботи він знайшов баг за допомогою якого він поцупив більш ніж $10 мільйонів у Microsoft.
Bloomberg звернув увагу на історію успіху (чи не дуже) українця та присвятив цьому цілий матеріал. Своєю чергою ми розповідаємо, як Володимиру Кващуку вдалось провернути таку махінацію.
👨🏼💻 Баг це не завжди погано
Робота Володимира складалась з тестування сервісу Microsoft Store — онлайн-магазину, де можна придбати безліч речей: від ігор та фільмів, до ноутбуків й іншої техніки. Він проводив покупку зі спеціальною карткою компанії, робив транзакції та звітував про знайдені помилки. Володимир міг так купляти будь-що, однак він не отримував фізичні товари. Під час роботи він виявив, що якщо замовити подарункову картку, то система давала збій та надсилала робочий код.
Картки можуть бути різної вартості — 15, 30, 50 чи 100 доларів. Фактично він просто купляв гроші, за які можна було придбати щось з Microsoft Store. Українець вирішив не розповідати про знайдену несправність та почав генерувати коди у неймовірних масштабах. Вже потім, коли його аферу розкриють, виявиться, що загалом він заробив на цьому більш ніж $10 мільйонів.
У нього були серйозні плани на ці гроші й він зробив цілий план, як витратити свої мільйони. Відтак він хотів поділитись грошами з мамою та придбати будинок на схилі гори за один мільйон.
Аби збільшити розміри своїх оборудок Володимир отримав доступ до акаунтів своїх колег — він просто вгадав їхні паролі. Деякі з них мали паролі на кшталт VerySecret1, тому це не було особливою проблемою отримати декілька облікових записів. Самі ж співробітники навіть і не здогадувались, що з їхньою допомогою проводять багатомільйонні крадіжки.
Ба більше, Володимир створив спеціальну програму, аби автоматизувати цей процес. Програма PurchaseFlow.CS допомагала заробити декілька тисяч доларів за лічені секунди.
🤔 А що робити з кодами?
Менш через рік після знахідки чарівного багу Володимир почав торгувати кодами на Paxful — платформі, де можна придбати подарункові картки за криптовалюту.
Під ім’ям Grizzled Wolf він продавав картки у будь-якій кількості — від невеликих роздрібних, до оптових продажів. Попит був значно більшим за пропозицію тож у Володимира швидко сформувалось коло постійних покупців.
Одним з найбільших покупців став користувач з ніком Makoo. Цілком імовірно, що він належить до якогось кримінального угруповання, оскільки в переписці він постійно радиться «зі своїм босом».
Саме з Makoo були одні з найбільших угод — загалом вони наторгували на $7 мільйонів. Варто зазначити, що усі операції проходили у криптовалюті, тож цілком імовірно що за сьогоднішнім курсом статки українця могли б бути значно більшими.
😱 Щось пішло не так
З часом почались проблеми. Деякі коди не працювали, тому покупці залишались незадоволеними — вони скаржились не Володимиру, а безпосередньо у Microsoft. Компанія повідомила користувачам, що коди, які вони намагались активувати, є краденими.
Вже тоді Microsoft намагалась знайти зловмисника. Компанія шукала хакера, який зламав сайт, але усі спроби виявити шахрая були неуспішними. Тому вирішили зосередитись на співробітниках.
Корпоративна команда розслідування побачила незвичну активність акаунтів для тестування — вони поцупили кодів на $8 мільйонів. Зі співробітниками провели бесіду, однак вони нічого не знали про оборудки з подарунковими картками та були дуже здивовані, що їхні акаунти хтось використовував.
Через деякий час Microsoft виявила, що корпоративна програма Fiddler, створена для команд тестувальників, дозволяє будь-якому співробітникові з потрібним рівнем доступу зламати базу даних без особливих зусиль. Слідчі швидко виявили потенційного зловмисника — Володимира Кващука.
Під час допиту українець зазначив, що він вкрав лишень 600 кодів, які він потім використовував для перегляду фільмів зі своєю дівчиною. Microsoft звільнила співробітника й все могло б легко завершитись, однак сталося не так як гадалося.
Компанія виявила, що усі інші операції проходили з комп’ютера Кващука і його арештували.
На суді Володимир захищав свою позицію та взагалі зазначав, що він робив лише краще для компанії. Буцімто, він таким чином знаходив користувачів Microsoft. За його словами він взагалі нічого не вкрав, бо фактично він продавав лише добірки літер та цифр, а не самі коди.
Такі заяви не допомогли українцю й суд визнав його винним. Він перебуде в ув’язненні до 2027 року. Після відбуття свого терміну Володимир буде зобов’язаний компенсувати Microsoft збиток в розмірі $8,3 мільйона.
Ну що тут ще можна сказати? Нашого цвіту по всьому світу.
Раніше ми вже спілкувались зі справжнім онлайн-шахраєм, який ошукує людей на криптовалюту — «Я вкрав біткоїни 94-річного дідуся з Австралії». Також ми вже розповідали історії трьох людей, які відправились у соло-похід у гори — «Максимальна самоізоляція».
А що робити, якщо в загалі немає новин, можна дізнатись у нашому матеріалі про феномен «Повільного телебачення» з Норвегії.