iT邦幫忙

2021 iThome 鐵人賽

DAY 16
0
IT管理

廢宅看那些年被揭露的奇葩獎系列 第 16

安全測試員的職業道德敗給貪念

故事簡述

我們故事的主角是微軟的一名安全測試猿——Volodymyr Kvashuk,他的工作是測試公司的電子商務基礎設施,具體來說,他主要模擬微軟網路商店的購買行為,尋找支付系統中的小故障。

在買買買的測試過程中,發現買Xbox禮品卡,微軟商店發送的是真的可以換錢的5x5代碼!

從此系統漏洞被當成「聚寶盆」,在被抓到之前成了測試猿發家致富之道。

最終,Kvashuk被判處在監獄服刑到2027年3月,之後他很可能會被遣返烏克蘭,並且需要賠償830萬美元。

看到幾個讓廢宅有些在意的關鍵字

  1. 2017年微軟聘用Kvashuk為年薪11.6萬美元的全職工程師
  2. Kvashuk得知了他同事的帳號密碼,並使用了他們的帳號登入。登入前採用代理伺服器逆蹤。
  3. 2019年3月公司調查人員發現微軟商店團隊員工的兩個內部測試帳號有不正常活動。並連結到Paxful和其他網站上銷售的價值近800萬美元的禮品卡代買現象。黑掉2個測試帳號後,又發現第3個帳號行為可疑。
  4. 2019年4月17日清查測試人員後發現,一個名為Fiddler的測試程式包含了洩露數據的測試人員登入,任何有權限進入Fiddler程式的人都有可能駭進了帳戶,這表明偷禮品卡可能是其他僱員或承包商幹的。
  5. 2019年7月16日突襲、搜查發現不當得利佐證:大量現金、及其它物質條件遠遠優於員工收入水準,等多項不合理之處。

微軟做對的事

  1. 找專家: FIST團隊求助於Andrew Cookson,這個人在微軟處理了近15年的員工瀆職調查。Cookson是cotland Yard電腦犯罪部門的一名資深偵探,他很快鎖定了一個新的嫌疑人: Volodymyr Kvashuk。
  2. 資料蒐集足以交叉比對犯罪事實:經過對資料的整理,微軟發現Kvashuk的一個測試帳號在2017年非法購買了一些Xbox禮品卡。更可疑的是,Kvashuk與另一批被盜代碼有關,這些代碼曾被微軟的網店用來購買三塊高階的GeForce顯卡。


資料來源:
微軟工程師發現測試漏洞、偷走大量Xbox禮品卡序號,2年暗槓1010萬美元


上一篇
阻止B-1B轟炸機前進的不是敵人是一台平板
下一篇
意圖下載微微軟家的新OS,嚐鮮不成載到加好加滿的謎包
系列文
廢宅看那些年被揭露的奇葩獎40

尚未有邦友留言

立即登入留言