程序员利用测试账户套现千万美元,或面临20年监禁
作者丨核子可樂、趙鈺瑩
據(jù) The Register 的最新報(bào)道,一位前微軟開發(fā)工程師 Volodymyr Kvashuk 于本周二被逮捕,因其涉嫌從前雇主處竊取總值達(dá) 1000 萬美元的數(shù)字貨幣。
據(jù)了解,今年 25 歲的 Volodymyr Kvashuk 為居住在華盛頓州倫頓市的烏克蘭公民,其于 2016 年 8 月被聘為微軟正式員工,并于 2018 年 6 月被微軟公司解雇。根據(jù)檢方公布的訴狀,Kvashuk 已被西雅圖聯(lián)邦地方法院起訴。
Volodymyr Kvashuk 曾任職于微軟 Universal Store 團(tuán)隊(duì)(UST),負(fù)責(zé)處理該公司的電子商務(wù)業(yè)務(wù)。微軟公司 Azure DevOps 產(chǎn)品負(fù)責(zé)人 Sam Guckenheimer 曾在 2017 年做出正式說明稱:“UST 是微軟公司的主要商業(yè)引擎,使命是為微軟的全部商業(yè)產(chǎn)品提供 One Universal Store 支持。UST 涵蓋微軟公司銷售的所有產(chǎn)品,以及其他一切通過企業(yè),消費(fèi)者與商業(yè),數(shù)字與物理,訂閱與交易進(jìn)行的,經(jīng)由所有渠道及店面銷售的產(chǎn)品。”
根據(jù)訴狀,UST 成員負(fù)責(zé)在微軟在線商店中設(shè)置虛擬賬戶,通過專門創(chuàng)建的電子郵件地址立足生產(chǎn)環(huán)境測試與信用卡的關(guān)聯(lián)功能,從而在不產(chǎn)生實(shí)際費(fèi)用的前提下進(jìn)行產(chǎn)品購買。而后,Volodymyr Kvashuk 將其測試賬戶列入白名單,以繞過微軟的安全與風(fēng)險監(jiān)測系統(tǒng)。
隨后,Kvashuk 利用這一漏洞購買了大量微軟商品,并以低于面值的折扣價從第三方手中換得大量貨幣——總價值高達(dá) 1000 萬美元。這一欺詐活動據(jù)稱于 2017 年開始,而后逐步升級。欲壑難填的 Kvashuk 基礎(chǔ)年薪為 11 萬 6 千美元,但卻在華盛頓州倫頓市購置了價值 16 萬 2 千美元的特斯拉汽車與 160 萬美元的房產(chǎn)。
目前,當(dāng)局已經(jīng)要求對 Kvashuk 實(shí)施拘留,并稱他可能試圖逃離美國或者妨礙司法公正。如果確被判處犯有欺詐罪,這位前微軟開發(fā)工程師可能面臨高達(dá) 20 年的監(jiān)禁與 25 萬美元罰款。
微軟對測試賬戶監(jiān)管不力在設(shè)計(jì)測試系統(tǒng)時,微軟方面忽略了一個重要的攻擊向量。訴狀解釋稱,“測試計(jì)劃本應(yīng)阻止實(shí)物交付,但微軟公司沒有預(yù)想到測試人員會利用數(shù)字貨幣(「Currency Stored Value」,簡稱 CSV)進(jìn)行購買測試,因此沒有采取任何阻止 CSV 交付的措施。”
如此一來,測試人員即可通過測試購買微軟數(shù)字禮品卡,獲取可兌換的有效產(chǎn)品密鑰,并向與購買者賬戶相關(guān)聯(lián)的數(shù)字錢包充值。在此之后,電子資金即可用于從微軟商店購買數(shù)字或者實(shí)體產(chǎn)品。
訴狀稱,Kvashuk 的操作已經(jīng)被微軟 UST 欺詐調(diào)查打擊小組(FIST)撤銷。該小組于 2018 年 2 月注意到,微軟 Xbox 游戲系統(tǒng)中的 CSV 購買訂單出現(xiàn)了可疑增量,調(diào)查人員追蹤這筆數(shù)字資金,發(fā)現(xiàn)產(chǎn)品已經(jīng)通過兩個不同的網(wǎng)站進(jìn)行轉(zhuǎn)售,而其根源則是兩個被列入白名單的測試賬戶。
以此為起點(diǎn),FIST 持續(xù)跟蹤其中涉及的賬戶與交易。在美國相關(guān)部門的協(xié)助下,調(diào)查人員得出結(jié)論,認(rèn)為 Kvashuk 對微軟存在欺詐行為,包括嘗試?yán)锰摂M賬戶隱瞞自己的身份,并使用比特幣混合服務(wù)隱藏公鏈交易。
除了指向 Kvashuk 的服務(wù)供應(yīng)商記錄之外,訴狀還提到微軟公司的在線商店使用了一種被稱為模糊設(shè)備 ID 的指紋識別方式。據(jù)稱,調(diào)查人員成功將特定設(shè)備 ID 與 Kvashuk 的相關(guān)賬戶聯(lián)系了起來。
程序員的職業(yè)道德無論從事什么行業(yè),職業(yè)道德都是最基本的底線。2018 年 10 月份,InfoQ 也曾報(bào)道過類似事件:華夏銀行三室處長覃某將其編寫的“計(jì)算機(jī)病毒程序”植入華夏銀行總行核心系統(tǒng)應(yīng)用服務(wù)器,并通過該計(jì)算機(jī)病毒程序使其跨行 ATM 機(jī)取款的交易不能計(jì)入賬戶,自 2016 年 11 月至 2018 年 1 月間,覃某通過其掌控的華夏銀行卡多次在 ATM 機(jī)上跨行取款,將銀行資金 717.9 萬元轉(zhuǎn)入其使用控制的銀行賬戶,非法占為己有。
對于 IT 從業(yè)者的程序員來說,職業(yè)道德應(yīng)該是怎樣的呢?IEEE(電氣和電子工程師協(xié)會)曾制定過 IT 從業(yè)者的倫理準(zhǔn)則(Code of Ethics),簡單翻譯以供參考:
IEEE 的成員認(rèn)識到我們的技術(shù)在影響全世界生活質(zhì)量方面的重要性,并承認(rèn)對我們的專業(yè)、成員和所服務(wù)的社區(qū)具備義務(wù),特此承諾保證最高的道德和職業(yè)行為,并同意:
以保持公眾的安全,健康和福利為準(zhǔn)則,努力遵守道德設(shè)計(jì)和可持續(xù)發(fā)展實(shí)踐,及時披露可能危害公眾或環(huán)境的因素 ;
盡可能避免實(shí)際或可感知的利益沖突,并在存在時向受影響的各方披露 ;
在根據(jù)現(xiàn)有數(shù)據(jù)陳述索賠或估計(jì)時要誠實(shí) ;
拒絕一切形式的賄賂 ;
提高個人和社會對傳統(tǒng)和新興技術(shù)(包括智能系統(tǒng))的理解能力以及可能造成的社會影響的理解 ;
保持和提高我們的技術(shù)能力,只有經(jīng)過培訓(xùn)或具備資格,或在充分披露相關(guān)限制后,才能為他人承擔(dān)技術(shù)任務(wù) ;
尋求,接受并提供對技術(shù)工作的誠實(shí)批評,承認(rèn)和糾正錯誤,并妥善信任他人的貢獻(xiàn) ;
公平對待所有人,不參與種族,宗教,性別,殘疾,年齡,國籍,性取向,性別認(rèn)同或性別表達(dá)等歧視行為 ;
避免虛假或惡意行為傷害他人,財(cái)產(chǎn),聲譽(yù)或工作 ;
協(xié)助同事的職業(yè)發(fā)展,并支持他們遵守職業(yè)道德準(zhǔn)則。
有道無術(shù),術(shù)可成;有術(shù)無道,止于術(shù)
歡迎大家關(guān)注Java之道公眾號
好文章,我在看??
總結(jié)
以上是生活随笔為你收集整理的程序员利用测试账户套现千万美元,或面临20年监禁的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 删除指定路径下的文件
- 下一篇: 添加文件然后自动打开