微软程序员利用测试账户套现千万美元，或面临 20 年监禁

据外媒报道，美国检察官表示一名前微软程序员利用微软内部对测试账户监管不严的漏洞，疯狂套现 1000 万美元，并购置了一辆特斯拉与价值 160 万美元的房产，而其可能因此面临高达 20 年的监禁与 25 万美元罚款。

事件回溯

据The Register的最新报道，一位前微软开发工程师 Volodymyr Kvashuk 于本周二被逮捕，因其涉嫌从前雇主处窃取总值达 1000 万美元的数字货币（代金券）。

据了解，今年 25 岁的 Volodymyr Kvashuk 为居住在华盛顿州伦顿市的乌克兰公民，其于 2016 年 8 月被聘为微软正式员工，并于 2018 年 6 月被微软公司解雇。根据检方公布的诉状，Kvashuk 已被西雅图联邦地方法院起诉。

Volodymyr Kvashuk 曾任职于微软 Universal Store 团队（UST），负责处理该公司的电子商务业务。微软公司 Azure DevOps 产品负责人 Sam Guckenheimer 曾在 2017 年做出正式说明称：“UST 是微软公司的主要商业引擎，使命是为微软的全部商业产品提供 One Universal Store 支持。UST 涵盖微软公司销售的所有产品，以及其他一切通过企业，消费者与商业，数字与物理，订阅与交易进行的，经由所有渠道及店面销售的产品。”

根据诉状，UST 成员负责在微软在线商店中设置虚拟账户，通过专门创建的电子邮件地址立足生产环境测试与信用卡的关联功能，从而在不产生实际费用的前提下进行产品购买。而后，Volodymyr Kvashuk 将其测试账户列入白名单，以绕过微软的安全与风险监测系统。

随后，Kvashuk 利用这一漏洞购买了大量微软商品，并以低于面值的折扣价从第三方手中换得大量货币——总价值高达 1000 万美元。这一欺诈活动据称于 2017 年开始，而后逐步升级。欲壑难填的 Kvashuk 基础年薪为 11 万 6 千美元，但却在华盛顿州伦顿市购置了价值 16 万 2 千美元的特斯拉汽车与 160 万美元的房产。

目前，当局已经要求对 Kvashuk 实施拘留，并称他可能试图逃离美国或者妨碍司法公正。如果确被判处犯有欺诈罪，这位前微软开发工程师可能面临高达 20 年的监禁与 25 万美元罚款。

微软对测试账户监管不力

在设计测试系统时，微软方面忽略了一个重要的攻击向量。诉状解释称，“测试计划本应阻止实物交付，但微软公司没有预想到测试人员会利用数字货币（「Currency Stored Value」，简称 CSV）进行购买测试，因此没有采取任何阻止 CSV 交付的措施。”

如此一来，测试人员即可通过测试购买微软数字礼品卡，获取可兑换的有效产品密钥，并向与购买者账户相关联的数字钱包充值。在此之后，电子资金即可用于从微软商店购买数字或者实体产品。

诉状称，Kvashuk 的操作已经被微软 UST 欺诈调查打击小组（FIST）撤销。该小组于 2018 年 2 月注意到，微软 Xbox 游戏系统中的 CSV 购买订单出现了可疑增量，调查人员追踪这笔数字资金，发现产品已经通过两个不同的网站进行转售，而其根源则是两个被列入白名单的测试账户。

以此为起点，FIST 持续跟踪其中涉及的账户与交易。在美国相关部门的协助下，调查人员得出结论，认为 Kvashuk 对微软存在欺诈行为，包括尝试利用虚拟账户隐瞒自己的身份，并使用比特币混合服务隐藏公链交易。

除了指向 Kvashuk 的服务供应商记录之外，诉状还提到微软公司的在线商店使用了一种被称为模糊设备 ID 的指纹识别方式。据称，调查人员成功将特定设备 ID 与 Kvashuk 的相关账户联系了起来。

程序员的职业道德

无论从事什么行业，职业道德都是最基本的底线。2018 年 10 月份，InfoQ 也曾报道过类似事件：华夏银行三室处长覃某将其编写的“计算机病毒程序”植入华夏银行总行核心系统应用服务器，并通过该计算机病毒程序使其跨行 ATM 机取款的交易不能计入账户，自 2016 年 11 月至 2018 年 1 月间，覃某通过其掌控的华夏银行卡多次在 ATM 机上跨行取款，将银行资金 717.9 万元转入其使用控制的银行账户，非法占为己有。

对于 IT 从业者的程序员来说，职业道德应该是怎样的呢？IEEE（电气和电子工程师协会）曾制定过 IT 从业者的伦理准则（Code of Ethics），简单翻译以供参考：