微软程序员利用测试账户套现千万美元,或面临 20 年监禁
据外媒报道,美国检察官表示一名前微软程序员利用微软内部对测试账户监管不严的漏洞,疯狂套现 1000 万美元,并购置了一辆特斯拉与价值 160 万美元的房产,而其可能因此面临高达 20 年的监禁与 25 万美元罚款。
事件回溯
据The Register的最新报道,一位前微软开发工程师 Volodymyr Kvashuk 于本周二被逮捕,因其涉嫌从前雇主处窃取总值达 1000 万美元的数字货币(代金券)。
据了解,今年 25 岁的 Volodymyr Kvashuk 为居住在华盛顿州伦顿市的乌克兰公民,其于 2016 年 8 月被聘为微软正式员工,并于 2018 年 6 月被微软公司解雇。根据检方公布的诉状,Kvashuk 已被西雅图联邦地方法院起诉。
Volodymyr Kvashuk 曾任职于微软 Universal Store 团队(UST),负责处理该公司的电子商务业务。微软公司 Azure DevOps 产品负责人 Sam Guckenheimer 曾在 2017 年做出正式说明称:“UST 是微软公司的主要商业引擎,使命是为微软的全部商业产品提供 One Universal Store 支持。UST 涵盖微软公司销售的所有产品,以及其他一切通过企业,消费者与商业,数字与物理,订阅与交易进行的,经由所有渠道及店面销售的产品。”
根据诉状,UST 成员负责在微软在线商店中设置虚拟账户,通过专门创建的电子邮件地址立足生产环境测试与信用卡的关联功能,从而在不产生实际费用的前提下进行产品购买。而后,Volodymyr Kvashuk 将其测试账户列入白名单,以绕过微软的安全与风险监测系统。
随后,Kvashuk 利用这一漏洞购买了大量微软商品,并以低于面值的折扣价从第三方手中换得大量货币——总价值高达 1000 万美元。这一欺诈活动据称于 2017 年开始,而后逐步升级。欲壑难填的 Kvashuk 基础年薪为 11 万 6 千美元,但却在华盛顿州伦顿市购置了价值 16 万 2 千美元的特斯拉汽车与 160 万美元的房产。
目前,当局已经要求对 Kvashuk 实施拘留,并称他可能试图逃离美国或者妨碍司法公正。如果确被判处犯有欺诈罪,这位前微软开发工程师可能面临高达 20 年的监禁与 25 万美元罚款。
微软对测试账户监管不力
在设计测试系统时,微软方面忽略了一个重要的攻击向量。诉状解释称,“测试计划本应阻止实物交付,但微软公司没有预想到测试人员会利用数字货币(「Currency Stored Value」,简称 CSV)进行购买测试,因此没有采取任何阻止 CSV 交付的措施。”
如此一来,测试人员即可通过测试购买微软数字礼品卡,获取可兑换的有效产品密钥,并向与购买者账户相关联的数字钱包充值。在此之后,电子资金即可用于从微软商店购买数字或者实体产品。
诉状称,Kvashuk 的操作已经被微软 UST 欺诈调查打击小组(FIST)撤销。该小组于 2018 年 2 月注意到,微软 Xbox 游戏系统中的 CSV 购买订单出现了可疑增量,调查人员追踪这笔数字资金,发现产品已经通过两个不同的网站进行转售,而其根源则是两个被列入白名单的测试账户。
以此为起点,FIST 持续跟踪其中涉及的账户与交易。在美国相关部门的协助下,调查人员得出结论,认为 Kvashuk 对微软存在欺诈行为,包括尝试利用虚拟账户隐瞒自己的身份,并使用比特币混合服务隐藏公链交易。
除了指向 Kvashuk 的服务供应商记录之外,诉状还提到微软公司的在线商店使用了一种被称为模糊设备 ID 的指纹识别方式。据称,调查人员成功将特定设备 ID 与 Kvashuk 的相关账户联系了起来。
程序员的职业道德
无论从事什么行业,职业道德都是最基本的底线。2018 年 10 月份,InfoQ 也曾报道过类似事件:华夏银行三室处长覃某将其编写的“计算机病毒程序”植入华夏银行总行核心系统应用服务器,并通过该计算机病毒程序使其跨行 ATM 机取款的交易不能计入账户,自 2016 年 11 月至 2018 年 1 月间,覃某通过其掌控的华夏银行卡多次在 ATM 机上跨行取款,将银行资金 717.9 万元转入其使用控制的银行账户,非法占为己有。
对于 IT 从业者的程序员来说,职业道德应该是怎样的呢?IEEE(电气和电子工程师协会)曾制定过 IT 从业者的伦理准则(Code of Ethics),简单翻译以供参考:
微软程序员利用测试账户套现千万美元,或面临 20 年监禁相关推荐
- 程序员利用测试账户套现千万美元,或面临20年监禁
作者丨核子可乐.赵钰莹 据外媒报道,美国检察官表示一名前微软程序员利用微软内部对测试账户监管不严的漏洞,疯狂套现 1000 万美元,并购置了一辆特斯拉与价值 160 万美元的房产,而其可能因此面临高达 ...
- 从程序员到测试工程师
这篇是2002年底<程序员>杂志上的一篇文章,虽然时间早了点,但值得一看. ------------ 前言:软件测试一门非常崭新的学科,目前研究的内容还很不深入,仍然处于婴儿阶段.软件测试 ...
- 从程序员到测试工程师(转)
前言:软件测试一门非常崭新的学科,目前研究的内容还很不深入,仍然处于婴儿阶段.软件测试需要什么样的专业基础还没有定论,而且目前还没有一种很好的标准来衡量测试人员.但无可置疑,软件测试越来越受到软件公司 ...
- PHP初级程序员能力测试参考答案
PHP初级程序员能力测试参考答案[闭卷] 注:①本测试满分100分,80分及格,形式为闭卷,不得翻阅任何手册和参考书籍.本试卷使用的PHP版本为5.2.6+,WEB服务器使用APACHE2+,开发平台 ...
- 「程序员做饭指南」霸榜GitHub,还用数学公式解决「吃什么」世纪难题,微软程序员出品...
点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 鱼羊 发自 凹非寺 量子位 | 公众号 QbitAI 我也是没想到啊,GayHub啊不 ...
- 大写的服!90 后程序员利用业余时间帮网友鉴定毒蘑菇,拥有百万粉丝成网络大 V...
整理 | 王晓曼 出品 | 程序人生 (ID:coder _life) 近日,有媒体爆料南京一程序员利用业余时间,研究菌物做科普,去年帮网友鉴定毒蘑菇达 2000 余次,成为拥有百万粉丝的网络大 V. ...
- 为什么程序员做测试其实是有优势的?这是我听过最....的话
圈里有这样一个关于测试的段子:每个程序员在修改代码时都希望有测试,但在写代码时,都不想写测试. 希望有测试,是因为测试可以给我们带来安全感.不想写测试,一方面,很多人会觉得麻烦,另一方面,也是更重要的 ...
- 程序出错后,程序员给测试人员的20条高频回复
原文地址: http://www.jobbole.com/entry.php/606 编者按:程序员和软件测试员之间的关系无须多言.这些经典回复是国外程序员总结分享的,"全球通用" ...
- 程序员利用Python破解老婆撤回的消息,这样竟然还有老婆?
文章背景: 闲来无事,在街上吃了些零食并用微信付款.不得不说程序员的思维和别人的是真不同,我想的却是微信真强大,稍微查看了一下,还有许多的小程序,很多大企业都在与它合作.这些还不是最重要的,关键是看到 ...
最新文章
- android6.0 wifi流程,[RK3288][Android6.0] WiFi之从Linkspeed看获取流程
- python学到什么程度可以做兼职-Python学到什么程度就可以找工作?
- 使用native 查询时,对特殊字符的处理。
- 刷固件Layer1到手机FLASH(硬刷)
- Leetcode:371.Sum Of Two Integer
- 通讯实例 modbus_实例讲解PLC实现modbus通讯
- [openstack]依赖提交
- ZooKeeper学习总结(2)——ZooKeeper开源Java客户端ZkClient使用
- 其他学习笔记(一)——MySQL基础配置+可视化工具安装与破解
- 【实验五】利用三层交换机实现VLAN间路由
- idea格式化java代码,设置属性自动换行
- Greedy Method
- pdf.js插件在线预览pdf文件以及所遇问题解决方案(兼容IE)
- m4a转换成mp3如何操作?
- 明峰医疗IPO终止:亏损超过14亿元,王瑶法、潘华素夫妇为实控人
- 《太阳照常升起》观后感
- c# 傅里叶变换 频域_C# 傅里叶变换 逆变换 调用MathNet包
- Getway中StripPrefix作用
- IC验证必备的数字电路基础知识(一):数字逻辑基础
- 数据可视化新闻,不一样的新闻报道形式
热门文章
- 【Java文件操作】txt文件的创建
- java并发Exchanger的使用
- Leet Code OJ 118. Pascal's Triangle [Difficulty: Easy]
- 语言题库体型判断问题_1000道Python题库系列分享20(43道填空与判断题)
- 步步深入:MySQL架构总览-gt;查询执行流程-gt;SQL解析顺序
- MySQL InnoDB索引介绍及优化
- 01.java内存模型
- 计算机秋招必备!北京互联网大厂企业整理清单!
- 僵尸进程孤儿进程与守护进程
- 数据库概述(了解数据库,当前数据库介绍,mysql数据库介绍,安装mysql数据库)