微軟測試工程師如何兩年內利用漏洞騙走 Xbox 禮品卡 1 千萬美元?

作者 | 發布日期 2021 年 07 月 06 日 8:15 | 分類 Microsoft , Xbox , 電子商務 Telegram share ! follow us in feedly


你是否曾在網路看過低價 Xbox 禮品卡,讓你以低於市價幾折的價格買入禮品卡?你有沒有想過,這些禮品卡是怎麼來的?

這個故事或許可解答疑惑。

Xbox禮品卡有一串5個5組、共25個字母及數字組合的字串,這格式在很多軟體序號或串流帳號都用過,通稱為5×5碼。Xbox禮品卡與商店貨架其他琳瑯滿目的禮品卡看起來沒什麼差別,與蘋果、迪士尼、Sony等公司的禮品卡混在一起。當然卡片本身不值錢,但每張卡片封起來的每個5×5碼,背後都對應一筆金額,讓人兌換購買商品。

從這角度看,禮品卡可視為數位貨幣,當然不可避免吸引投機者,且由於交易匿名,也吸引許多騙徒。

不過這次事件主角,剛好正是微軟自家電子商務部門工程師。他因為發現Xbox禮品卡的Bug,從此誤入歧途。

測試微軟電子商務流程,意外發現一個愚蠢的BUG

烏克蘭籍的Volodymyr Kvashuk,2017年起在微軟總部任職,工作是測試電子商務基礎設施。

他的團隊工作重點,是模擬在微軟網路商店購買行為,尋找支付系統漏洞及故障。這意味他必須在微軟商店大量假性購買。如果Kvashuk加入一台Dell筆電到購物車,就使用微軟提供的假信用卡帳號完成交易,並記錄過程發生的任何錯誤。

由於他使用特定「假帳號」,系統知道這次購買是假的,不會真的把筆電送到他家。

至少,這是微軟認為正常會發生的事。

然後Kvashuk發現一個改變他生活的BUG,這BUG可說近乎愚蠢,以至於他沒有向經理報告:他注意到每當測試網路購買禮品卡商務流程時,雖然用假信用卡號碼,但微軟商店會發放真的禮品卡給他,一串真的5×5碼。

他發現可用這種方式,生成幾乎無限5×5碼,且完全沒有成本、一切免費。

Kvashuk開始他的「搖錢樹」行動。起初規模不大,以10~100美元數量購買Xbox禮品卡。但日子一久,他膽子越來越大,金額也升級了。

如何將「生意」程式化?

在微軟,Kvashuk給前高級工程師的印象是,他很狂妄,似乎陶醉在競爭激烈的環境工作,與同事爭相發明「下一件大事」。

目前還不清楚Kvashuk到底什麼時候發現微軟安全系統的禮品卡漏洞,但2017年時,也就是微軟聘他擔任全職工程師的時間點,當時團隊任務只是為了測試電子商務網站運送實體商品的購買行為。

因此整個測試流程設計,主要是針對個人電腦、平板電腦、鍵盤等購買行為。微軟並沒打算讓測試人員訂購Xbox禮品卡這種虛擬商品,因此也沒考慮到這Bug。Kvashuk本可向上司回報問題,但他選擇隱瞞不說。

Kvashuk和同事測試電子商務系統時,通常用幾個化名註冊的身分切換,這些化名檔案因是假的,所以填寫的身分資料也是敷衍帶過。反正帳號出了微軟大門就幾乎沒用。

為了掩護自己,Kvashuk知道取得同事的密碼,使用他們的化名測試登錄。

那年秋天他在西雅圖公寓裡,透過日本和俄羅斯VPN伺服器登入掩護真實IP地址,然後使用同事帳號下測試訂單,立即出現幾十個禮品卡代碼,價值2,000美元,然後是4,200美元,最後越來越多。

2018年1月,Kvashuk行動升級,寫了一個電腦程式PurchaseFlow.CS,以加快賺錢速度。只要用程式點擊,他就可選擇禮品卡面額(30、75、100)、輸出貨幣(美元、歐元、英鎊)及購買數量。

兩年後FBI抓到他時,已盜領超過15.2萬張Xbox禮品卡,價值1,010萬美元,且住進一棟價值百萬美元的湖濱別墅,還計劃購買滑雪小屋、遊艇和水上飛機。

2020年11月,法官判他九年監禁刑期。

(圖片來源:微軟