據外媒報道，美國檢察官表示一名前微軟程序員利用微軟內部對測試賬戶監管不嚴的漏洞，瘋狂套現 1000 萬美元，并購置了一輛特斯拉與價值 160 萬美元的房產，而其可能因此面臨高達 20 年的監禁與 25 萬美元罰款。

事件回溯

據The Register的最新報道，一位前微軟開發工程師 Volodymyr Kvashuk 于本周二被逮捕，因其涉嫌從前雇主處竊取總值達 1000 萬美元的數字貨幣（代金券）。

據了解，今年 25 歲的 Volodymyr Kvashuk 為居住在華盛頓州倫頓市的烏克蘭公民，其于 2016 年 8 月被聘為微軟正式員工，并于 2018 年 6 月被微軟公司解雇。根據檢方公布的訴狀，Kvashuk 已被西雅圖聯邦地方法院起訴。

Volodymyr Kvashuk 曾任職于微軟 Universal Store 團隊（UST），負責處理該公司的電子商務業務。微軟公司 Azure DevOps 產品負責人 Sam Guckenheimer 曾在 2017 年做出正式說明稱：“UST 是微軟公司的主要商業引擎，使命是為微軟的全部商業產品提供 One Universal Store 支持。UST 涵蓋微軟公司銷售的所有產品，以及其他一切通過企業，消費者與商業，數字與物理，訂閱與交易進行的，經由所有渠道及店面銷售的產品。”

根據訴狀，UST 成員負責在微軟在線商店中設置虛擬賬戶，通過專門創建的電子郵件地址立足生產環境測試與信用卡的關聯功能，從而在不產生實際費用的前提下進行產品購買。而后，Volodymyr Kvashuk 將其測試賬戶列入白名單，以繞過微軟的安全與風險監測系統。

隨后，Kvashuk 利用這一漏洞購買了大量微軟商品，并以低于面值的折扣價從第三方手中換得大量貨幣——總價值高達 1000 萬美元。這一欺詐活動據稱于 2017 年開始，而后逐步升級。欲壑難填的 Kvashuk 基礎年薪為 11 萬 6 千美元，但卻在華盛頓州倫頓市購置了價值 16 萬 2 千美元的特斯拉汽車與 160 萬美元的房產。

目前，當局已經要求對 Kvashuk 實施拘留，并稱他可能試圖逃離美國或者妨礙司法公正。如果確被判處犯有欺詐罪，這位前微軟開發工程師可能面臨高達 20 年的監禁與 25 萬美元罰款。

微軟對測試賬戶監管不力

在設計測試系統時，微軟方面忽略了一個重要的攻擊向量。訴狀解釋稱，“測試計劃本應阻止實物交付，但微軟公司沒有預想到測試人員會利用數字貨幣（「Currency Stored Value」，簡稱 CSV）進行購買測試，因此沒有采取任何阻止 CSV 交付的措施。”

如此一來，測試人員即可通過測試購買微軟數字禮品卡，獲取可兌換的有效產品密鑰，并向與購買者賬戶相關聯的數字錢包充值。在此之后，電子資金即可用于從微軟商店購買數字或者實體產品。

訴狀稱，Kvashuk 的操作已經被微軟 UST 欺詐調查打擊小組（FIST）撤銷。該小組于 2018 年 2 月注意到，微軟 Xbox 游戲系統中的 CSV 購買訂單出現了可疑增量，調查人員追蹤這筆數字資金，發現產品已經通過兩個不同的網站進行轉售，而其根源則是兩個被列入白名單的測試賬戶。

以此為起點，FIST 持續跟蹤其中涉及的賬戶與交易。在美國相關部門的協助下，調查人員得出結論，認為 Kvashuk 對微軟存在欺詐行為，包括嘗試利用虛擬賬戶隱瞞自己的身份，并使用比特幣混合服務隱藏公鏈交易。

除了指向 Kvashuk 的服務供應商記錄之外，訴狀還提到微軟公司的在線商店使用了一種被稱為模糊設備 ID 的指紋識別方式。據稱，調查人員成功將特定設備 ID 與 Kvashuk 的相關賬戶聯系了起來。

程序員的職業道德

無論從事什么行業，職業道德都是最基本的底線。2018 年 10 月份，InfoQ 也曾報道過類似事件：華夏銀行三室處長覃某將其編寫的“計算機病毒程序”植入華夏銀行總行核心系統應用服務器，并通過該計算機病毒程序使其跨行 ATM 機取款的交易不能計入賬戶，自 2016 年 11 月至 2018 年 1 月間，覃某通過其掌控的華夏銀行卡多次在 ATM 機上跨行取款，將銀行資金 717.9 萬元轉入其使用控制的銀行賬戶，非法占為己有。

對于 IT 從業者的程序員來說，職業道德應該是怎樣的呢？IEEE（電氣和電子工程師協會）曾制定過 IT 從業者的倫理準則（Code of Ethics），簡單翻譯以供參考：

總結

以上是生活随笔為你收集整理的微软程序员利用测试账户套现千万美元，或面临 20 年监禁的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。