Инженер Microsoft украл миллионы долларов через глупейший баг с подарочными карточками Xbox. Теперь он в тюрьме
Неидеальное ограбление.
В ноябре 2020 года суд США приговорил бывшего сотрудника Microsoft, 26-летнего украинца Владимира Кващука, к 9 годам лишения свободы. Инженер-программист устроился на работу после переезда в США в 2015-м. Тестируя функции Microsoft Store, он нашел критический баг в системе и заработал на нем несколько миллионов долларов, прежде чем компания заметила проблему.
Издание Bloomberg пообщалось со множеством анонимных источников, включая бывших подчиненных Кващука, чтобы восстановить схему грандиозного преступления.
Програмист нашел лазейку, которую мог использовать только он
(Владимир Кващук)
Обязанностями Владимира Кващука – для друзей Вова – в Microsoft было тестирование инфраструктуры цифровой электронной коммерции компании. Он постоянно совершал покупки в Microsoft Store, используя специальную кредитную карту от Microsoft, завершал транзакцию, документировал любые ошибки и отчитывался о них начальству. При этом система специально помечала заказы Владимира: оплаченные товары ему не доставляли. Кроме одного исключения.
Однажды Кващук заметил, что при покупке подарочных карт магазина – например, начисляющих 15 на счет аккаунта при активации – система давала сбой и отправляла ему настоящие, рабочие коды. Инженер осознал, что таким образом может генерировать бесконечное количество «бесплатных денег». По словам одного из подчиненных Кващука, эта уязвимость – все равно что банковское хранилище, которое оставили открытым. «Рано или поздно, кто-нибудь попробует взять 20 долларов. Когда их не поймают, они решат: «Мне всего лишь нужно шесть парней, чтобы обчистить сейф, когда он останется без присмотра».
Владимир предположил, что пока он не расскажет об ошибке Microsoft, его ни за что не вычислят, как и не закроют саму лазейку. Ведь благодаря особенному аккаунту эксплуатировать ее мог только он сам.
Кващук построил целую империю краденных кодов
Инженер начал с генерации предоплаченных карт Xbox номиналом от 10 до 100 долларов, но вскоре серьезно увеличил обороты аферы. К моменту, когда на его след вышли федеральные агенты, Владимир Кващук успел украсть больше 152 тысяч подарочных карт Xbox общей стоимостью 10,1 млн долларов. Он жил в роскошном особняке у озера, катался на Tesla за 160 тысяч долларов и планировал купить яхту, гидросамолет и лыжное шале. Правда, теперь его посадили в тюрьму на 9 лет, лишив «заработка».
В обороте Кващука было так много краденных кодов, что его махинации напрямую влияли на стоимость кодов у перекупщиков. Когда цена опускалась слишком сильно, он временно приостанавливал торговлю, давая рынку возможность прийти в себя. Поскольку речь шла о подарочных картах, которые пригодны только для Microsoft Store (где можно купить не только игры и программы, но и технику, включая ноутбуки), Владимир не считал себя настоящим преступником. Следователям он заявлял, что не мог совершить ничего незаконного, поскольку сгенерированные им цифровые коды не считаются «настоящими деньгами».
Бывший начальник Кващука рассказал, что новенький низкоуровневый подрядчик вел себя крайне самоуверенно для своей позиции. Он наслаждался высококонкурентной средой компании, сотрудники которой постоянно пытались придумать какую-нибудь революцию. На суде Кващук рассказал: «Мне потребовалось бы использовать каждый нейрон моего мозга, чтобы создать нечто выдающееся и соревноваться со всеми этими гениями. Это как в фильме «Матрица», где нужно выбирать между синей и красной таблетками».
Видимо, по этой логике Владимир проявил собственный гений решением умолчать о важнейшем баге. В 2017-м, когда Microsoft предоставила ему должность с полной занятостью, парень заметил: аккаунты тестировщиков автоматически блокировали доставку только физических товаров, купленных в Microsoft Store. В обязанности инженеров вроде Кващука просто не входило приобретение цифровых товаров.
Вова, как и его коллеги, переключались между несколькими аккаунтами-заглушками с бессмысленными логинами и личными данными – подразумевалось, что они бесполезны в сравнении с настоящими профилями пользователей. Для своей аферы Кващук, тем не менее, подстраховался: узнал пароли нескольких коллег (кто-то буквально использовал VerySecret1 – «ОченьСекретно1») и совершал кражи с их тестовых аккаунтов. Он работал из своей квартиры в Сиэтле, заметая следы с помощью VPN в Японии и России.
Впрочем, Кващук не зря имеет образование программиста: после первых пробных краж он существенно оптимизировал и упростил процесс. В январе 2018-го он написал программу PurchaseFlow.CS – по заключению прокуроров, созданную «для одной цели, и только для нее: автоматизировать хищение и совершать мошенничество и кражу огромных масштабов». За несколько кликов в приложении он выбирал желаемый номинал подарочной карты (30, 75 или 100), нужную валюту (доллары, евро или фунты), а также указывал количество покупок.
Даже такая наглость, в теории, могла сойти украинскому «предпринимателю» с рук: оборот электронной комерции Microsoft составляет сотни миллионов долларов, так что исчезновение нескольких тысяч кодов могли и не заметить.
В 2018-м Кващук начал «ограбление века»
В марте 2018 года Владимир Кващук активизировался на Paxful – крупнейшей платформе для обмена подарочных карт на криптовалюту, преимущественно биткоин. Поскольку в то время площадка не требовала подтверждения личности документами, пользователи могли сохранять анонимность: Кващук, например, торговал под ником Grizzled Wolf.
Той весной он сгенерировал гигантское количество кодов на 30, 50 и 75 долларов, после чего выставил их по соблазнительной цене в 45% от номинала. Владимир также предлагал подарочные карты для пяти других валют, включая японскую йену и австралийский доллар. Он искал «торговых партнеров» и торговал оптом, как и другие продавцы Paxful.
Крупнейшим бизнес-партнером Кващука стал покупатель под ником Makoo – некто с улыбающейся девушкой на аватаре, якобы находящийся в Китае. Сперва Makoo заказал(а) 300 предоплаченных карт Xbox общей стоимость 27848 долларов. Через несколько секунд Кващук согласился на сделку, запросив 1,98 биткоина (на тот момент эквивалент 17240 долларов). После транзакции он отправил Makoo таблицу с кодами, которые его покупатель собирался перепродать третьим лицам.
(Tesla Model S – личный автомобиль Владимира Кващука)
Владимир постоянно увеличивал объемы своих сделок – следствие установило, что Makoo и еще одному пользователю Кващак продал коды Microsoft аж на 7 млн долларов. Его клиентами были совершенно разные люди: Makoo, например, наверняка причастен(на) к преступной группировке (если судить по фразе «Подожди, я свяжусь с боссом»). Одним из покупателей ворованных кодов стал обычный старшеклассник под ником Avsterbone: он купил относительно немного подарочных карт по скидке 50%, чтобы перепродать их друзьям и одноклассникам уже за 75% от полной стоимости.
Во время суда представители Paxful помогали следствию и ужесточили верификацию пользователей, чтобы усложнить отмывание денег.
Биткоин, ставший основной валютой «бизнеса» Кващука, в целом позволяет скрыть личность владельца цифрового кошелька, однако «безличностный» учет транзакций все-таки ведется, что помогает властям отследить криптовалюту. Поэтому часть своих средств инженер пропускал через ChipMixer – специальный сервис, миксующий биткоин с несколькими другими криптовалютами для дополнительного заметания следов.
После всех манипуляций Кващук переводил всю вырученную криптовалюту в Coinbase – популярное приложение для крипто-трейдинга, – где менял ее на обычные деньги. Только в марте 2018-го он вывел 1,4 млн долларов из Coinbase на личный банковский счет, а затем еще еще 935 тыс. долларов в апреле. Своему бухгалтеру он говорил, что это «подарок от отца».
Вскоре начались проблемы и сильный стресс
История поиска Кващука показывает, что он пытался избавиться от алкогольной зависимости и оформить канадскую визу. Когда бизнес уже встал на поток, у Владимира начались проблемы с поставками: некоторые коды, которые он продавал, почему-то перестали активироваться.
После одного из таких инцидентов старшеклассник Avsterbone потребовал вернуть деньги и перестал сотрудничать с Кващуком. Он заявил, что связывался со службой поддержки Microsoft, где его предупредили: парень пытался активировать код, который объявлен краденым. Проблемы серьезно нервировали и крупнейшего клиента, Makoo: после получения нескольких «бракованных» кодов Makoo тоже связался(ась) c Microsoft. Кващука это серьезно разозлило: «Черт, чувак, тебе нельзя отправлять этот запрос Microsoft. Отправь их мне. Если они начнут меня выслеживать, то я просто свалю».
Аномалии объясняются просто: в то время Microsoft уже открыла охоту на (тогда еще) неизвестного мошенника. В феврале 2018-го Ударная Команда по Расследованию Мошенничества компании заметила необычный скачок онлайн-покупок с использованием подарочных карт – они превышали норму в два раза. Сперва подозревали злоумышленника со стороны, но вскоре поняли, что в деле замешан сотрудник.
В марте корпоративные следователи засекли необычную активность двух тестовых аккаунтов команды Microsoft Store: они увидели, что эти пользователи уже украли коды стоимостью почти 8 млн долларов. Спустя несколько дней после блокировки подозрительных аккаунтов активизировался третий, с паролем $tore123. За 26 часов пользователь успел утащить Xbox-коды на 1,6 млн долларов – после этого его тоже заблокировали.
В апреле следователи допросили сотрудников, которым принадлежали аккаунты: все они казались шокированными жертвами, а не злоумышленниками. Дальше пришло осознание, что корпоративная программа Fiddler, созданная для команд тестировщиков, позволяет любому сотруднику с нужным уровнем доступа взломать базу данных без особого труда. Ударная команда подключила к расследованию детектива-ветерана Эндрю Куксона, который вскоре определился с ключевым подозреваемым: Владимиром Кващуком.
Под пристальным вниманием следователей обнаружилось несколько крайне неосторожных ошибок, допущенных мошенником-программистом. Например, в 2017-м Кващук нелегально «купил» несколько подарочных карт Xbox с собственного тестового аккаунта. Он также был напрямую связан с другой партией кодов, которые использовали для покупки нескольких топовых видеокарт Nvidia GeForce в Microsoft Store. Их отправили на имя Григора Шикора, проживающего в здании 309 деревни Норман Армс в Сиэтле. Человека с таким именем там не нашли, как и здания с таким номером – сам Кващук жил там же, в 101-м.
На допросе Кващук с трудом признался детективу, что сгенерировал примерно 600 кодов, но якобы использовал их только для оплаты фильмов, которые смотрел вместе с девушкой. Насчет видеокарт Владимир заявил, что использовал их для майнинга, но не помнит, когда заказывал их и почему указал Григора Шикора в качестве получателя. Дальше его показания путались все сильнее.
* * *
Через месяц после допроса Microsoft уволила Кващука, а следователи обнаруживали все больше «ошибок новичка», допущенных им при краже. Он пользовался VPN, но выходил в сеть с одного и того же компьютера на Linux, используя устаревшую версию Firefox – с помощью метаданных Microsoft смогла его отследить. Следователи даже обнаружили, что лицензия на Microsoft Office, купленная им на один из первых украденных кодов, была зарегистрирована на административный аккаунт его стартапа SearchDom.
На суде всплыла и записка на украинском, в которой Кващук мечтательно распределял «свои следующие 10 млн долларов»: 100 тыс. долларов, например, собирался перевести маме.
В суде Кващук и его адвокат выдали несколько интересных заявлений. Мол, инженер вовсе не грабил Microsoft а помогал ей найти больше лояльных пользователей, раздавая дешевые коды. Кража паролей коллег якобы не может считаться «кражей личности», поскольку аккаунты все равно были ненастоящими. И вообще все это было ради некого грандиозного проекта Кващука, который он так и не успел реализовать.
Суд признал линию защиты Кващука смехотворной. Он пробудет в тюрьме до марта 2027 года и будет обязан компенсировать компании ущерб в размере 8,3 млн долларов.
Останется ли после этого украинец на мели, неизвестно – суд не уверен, что смог отследить все средства Кващука, которые он старательно прятал между разными счетами.
Телеграм-канал / твиттер Стаса Погорского
Обзор Scarlet Nexus. Наконец-то можно играть за мечника с суперсилами из аниме!
