更多

    微軟電子工程師利用漏洞騙取過千萬 Xbox 禮品卡

    Andrew
    號稱"周身刀無張利"的多媒體創作人。 很喜歡樂天熊仔的怪叔叔。

    很多網絡服務,或大型號商店都有禮品卡,方便消費者購買然後留待日後使用。而這些禮品卡,背後都對應一筆金額,從某角度來看,禮品卡可視為虛擬貨幣,由於交易匿名也吸引不少騙徒。而一位烏克蘭籍的微軟電子商務部門工程師,在測試網路購物系統時發現有一個漏洞,讓他可以取得免費的 Xbox 禮品卡,問題是他不單沒有向上層彙報有關漏洞,反而是利用這些非法所得的 Xbox 禮品卡來牟利…

    烏克蘭籍的 Volodymyr Kvashuk,2017年加入微軟,任職測試電子商務基礎設施的工作,他的職責是模擬在微軟網上商店進行消費,並尋找支付系統漏洞及故障。過程中他會使用微軟提供的假帳戶及假信用卡,來進行測試,並記錄購買過程中發生的任何錯誤。

    由於他使用特定「假帳號」,系統知道這次購買是假的,理論上不會把貨品送出。但偏偏在他的測試過程中發現,每當測試購買 Xbox 禮品卡時,儘管是使用假信用卡號碼,但微軟商店還是會發放真的禮品卡給他:一串真可以使用、有實質金額價值的 5×5 碼。不過 Kvashuk 沒有把問題向上級匯報,而是選擇隱瞞,並利用它來賺錢⋯

    開始時, Kvashuk 會「購買」幾張價值 $10-100 美元 Xbox 禮品卡當外快,但後來他購買活動也開始升級了。原來 Kvashuk 和同事測試電子商務系統時,通常使用幾個假身分,亦因為這些測試帳號是假的,所以填寫的身分資料當然是敷衍帶過就可以,而為了進一步掩護自己, Kvashuk 更取得其他同事的密碼,使用他們的假帳號來登錄測試。他更會透過日本和俄羅斯 VPN 伺服器登入掩護真實 IP 地址,然後使用同事帳號下測試訂單來取得 Xbox 禮品卡代碼,以後更利用電腦程式 PurchaseFlow.CS ,購買更多的禮品卡,然後在網絡上以折讓價出售。最終事件在 2 年後被揭發,Kvashuk 一共盜領超過 15 萬張 Xbox 禮品卡,價值超過 1,000 萬美元。最終他被控告盜竊罪,而判處九年監禁。

    您會感興趣的內容

    相關文章