Как QA тестировщик с помощью бага нафармил миллионы
История начинается с того, что Владимир Кващук перебрался в США из Украины в 2015 году: переехать помогла тётя, вышедшая замуж за жителя Южной Калифорнии. На родине он успел закончить университет, где преподавали его родители: будущий преступник изучал информатику и экономику. Одногруппники называли его умным студентом, но успеваемость у молодого человека была средняя — по многим предметам он получал «удовлетворительно» и «зачтено».
Кващук быстро привык к жизни в новой стране и начал работать инженером-программистом в компании, которая сотрудничала с Microsoft и помогала ей развивать онлайн-магазин. Молодой человек вместе с коллегой также основал маркетинговую компанию SearchDom, а в 2017-м он устроился в Microsoft на полную ставку.
В его обязанности входило тестирование интернет-инфраструктуры компании, в основном, онлайн-магазина. Его команда искала уязвимости в системе платежей, совершая покупки с фейковых карт, предоставленных компанией. Транзакции должны были автоматически отменяться при любых намёках на подозрительную активность. Основное внимание тестеры уделяли продажам физических товаров (ПК, клавиатуры, планшеты), и с ними всё работало без нареканий.
Однажды Кващук попробовал приобрести с помощью предоставленной кредитки электронную подарочную карту. К его удивлению, система без проблем прислала корректный код, а потом — второй и третий. С оплатой покупок проблем не возникло: мошенник проверил их работоспособность, приобретя Microsoft Office за 164 доллара в официальном магазине компании.
Кващук не рассказал об уязвимости менеджерам: вместо этого он продолжил «покупать» коды номиналом от десяти до ста долларов каждый. Кроме того, программисту не составило труда взломать учётные записи других сотрудников, чтобы скрыть следы преступления: офисные профили для базовых задач создавались десятками, а защищали их простейшие пароли — к примеру, VerySecret1.
Как пишет Bloomberg, Microsoft не просила работников тестировать электронные товары, и эта небрежность обошлась компании в солидную сумму.
Чем больше бесплатных кодов Кващук получал, тем сложнее ему было остановиться. В январе 2018-го программист написал программу PurchaseFlow, позволявшую получать десятки карт за пару кликов. Все полученные коды он вносил в Excel-таблицу, которая быстро увеличилась до 2344 страниц. Пополнив запасы электронных карт, мошенник начал их продавать.
Условия Кващука, известного на платформах перекупщиков как Grizzled Wolf, были просты: он предлагал скидку в 55% на подарочную карту Microsoft любого номинала, быстро обрабатывал заказы, а к оплате принимал пять валют и биткоины. Работал программист на Paxful — главном портале для оптовой продажи электронной валюты.
Покупатели нашлись сразу. К примеру, трейдер Makoo, живущий в Китае, сразу заказал триста подарочных карт общей стоимостью почти в 28 тысяч долларов. Кващук получил за них 1.98 биткоина, который тогда был равен 17 тысячам. После этого Makoo, скорее всего, перепродал коды по более высокой цене.
После этого продажи только увеличивались. За несколько недель Makoo и другой активный пользователь Paxful накупили подарочных карт на 7 миллионов долларов. Bloomberg уточняет, что, возможно, эти два клиента были связаны с преступностью: это бы объяснило, откуда у трейдеров нашлись такие средства.
Однако многие клиенты Кващука были обычными игроками, которые хотели подешевле купить код для себя или друзей. Одним из них оказался 16-летний школьник под ником Avsterbone, перепродававший подарочные карты знакомым. «Множество моих друзей играли на Xbox. Поэтому я покупал коды у этого дилера с Paxful с отличной скидкой, а потом перепродавал их чуть дороже. Мне скидывали 50%, а я им — 25%. Все оказывались в выигрыше, кроме Microsoft.» , — Avsterbone
Расплачивались покупатели в основном биткоинами. Согласно следствию, Кващук пытался скрыть происхождение средств и обменивал их на другую криптовалюту, которую затем продавал на Coinbase. В марте 2018-го мошенник обогатился почти на полтора миллиона долларов, а в апреле к сумме добавилось ещё 935 тысяч. Программист говорил своему бухгалтеру, что криптовалюта — подарок от отца.
Молодой человек не стал долго ждать и начал тратить деньги. В первую очередь он купил машину Tesla Model S за 162 тысячи, а затем приобрёл дом с причалом на берегу озера Вашингтон стоимостью более чем в полтора миллиона долларов: программист сразу же переехал туда со своей подругой.
Но его нелегальная работа не могла продолжаться вечно. Вскоре покупатели начали сообщать, что некоторые коды Кващука не работают. Программист обвинял в неполадках своего поставщика и возвращал средства, но продолжал продавать карты.
Однако случаи участились, и его главные клиенты, Makoo и Avsterbone, пытались без участия продавца узнать, в чём проблема. Они связались со службой поддержки Microsoft, которая сообщила, что компания расследует предполагаемую кражу кодов.
На самом деле Microsoft заметила подозрительное увеличение покупок с помощью подарочных карт ещё в феврале 2018-го. За несколько недель компании удалось узнать, что с проблемой связаны её сотрудники, и заблокировать аккаунты, с которых шла «покупка» кодов. Общий ущерб составил порядка десяти миллионов долларов.
Когда дело передали профессиональному детективу, он быстро определился с главным подозреваемым: разумеется, это оказался Владимир Кващук. Раскрыть правду было несложно. Следствие установило, что первые коды программист украл с одного из основных рабочих аккаунтов, а купленные с их помощью видеокарты GeForce доставлялись на его прошлое место жительства: отличались только имя получателя и номер квартиры.
Впервые следствие допросило молодого человека 18 мая 2018-го. Программист признался в краже 600 кодов, но сказал, что они с подругой использовали их для покупки фильмов, а видеокарты служили для майнинга криптовалюты. Однако мошенник заявил, что не помнит, как заказывал их, и не знает, почему товары пришли на имя «Григор Шикор».
Microsoft уволила Кващука через месяц после допроса, однако его это не сильно расстроило. Программист продолжал жить с подругой в шикарном доме и летать отдыхать на Гавайи. Он без проблем нашёл новую работу в ТВ-корпорации Sinclair Broadcast Group, и коллеги положительно отзывались о новом сотруднике, даже не догадываясь, что он миллионер.
16 июля 2019-го аккаунт программиста внезапно пропал из рабочих чатов. В тот день к нему пришли с обыском федеральные агенты, которые занимались делом по обращению Microsoft. Они обнаружили у Кващука много налички, ключи от криптокошельков и флэшки, на которых хранились сотни непроданных кодов.
Были и другие улики: к примеру, мошенник использовал для кражи кодов один и тот же компьютер на Linux, а также устаревшую версию браузера Firefox. Купленную в первые дни операционную систему он активировал на учётной записи для своего стартапа SearchDom.
Программист предстал перед судом в феврале 2020-го, а в ноябре судья признал его виновным в мошенничестве, отмывании денег, краже личности (из-за использования учётных записей коллег), подделке налоговых деклараций и многом другом.
Защита подсудимого старалась представить всю ситуацию как большой исследовательский проект: по их мнению, он дёшево продавал коды для увеличения популярности магазинов Microsoft, и в будущем компания заработала бы намного больше. После этого они пытались доказать, что подарочные карты — ненастоящие деньги, поэтому молодой человек ни в чём не виновен.
Однако судья не воспринял подобные аргументы всерьёз и приговорил Кващука к 9 годам за решёткой, а также обязал Кващука выплатить Microsoft в качестве компенсации 8,3 млн.$. Bloomberg отмечает, что в марте 2027 года преступника могут депортировать в Украину, но до этого момента он будет отбывать наказание в американской тюрьме.
P.S. В качестве тестировщика зарабатывал он: 116к долляров в год(до уплаты налогов).