Esta é talvez uma das histórias mais estranhas que já escrevemos, mas é uma narrativa incrível sobre como alguém participou de um roubo digital contra a Microsoft. É uma história sobre um homem, os 25 dígitos digitais usados para resgatar códigos na Microsoft Store e como ele conseguiu roubar milhões da empresa com eles.
O relatório vem da Bloomberg e conta a história de Volodymyr Kvashuk, um funcionário da Microsoft que trabalhou para testar a infraestrutura de e-commerce da empresa. O trabalho envolvia fazer compras usando contas falsas para testar os sistemas de pagamento online em busca de falhas e bugs. Durante seu tempo no papel, ele teria notado uma falha tão óbvia que a escondeu de seus superiores.
O bug em questão o fazia receber códigos utilizáveis de 25 dígitos toda vez que fazia uma transação falsa para cartões da Microsoft Store – comumente usados na loja do Xbox como cartão-presente ou gift card. Depois de testar milhares dessas transações, Kvashuk conseguiu acumular milhões em moedas digitais e não disse a ninguém.
“Kvashuk encontrou um bug que mudaria sua vida, uma falha tão estupidamente óbvia que ele não conseguia relatar para seus gerentes. Ele percebeu que sempre que testava compras de cartões-presente, a Microsoft Store distribuía códigos 5×5 dólares. percebeu: ele poderia gerar códigos virtualmente ilimitados, tudo de graça. “
Com isso em mente, ele acessou um site conhecido pela venda de códigos digitais, onde os venderia com desconto de até 55%. Com o enorme aumento de códigos baratos inundando o mercado, ele frequentemente descobria que seu valor diminuía, então aumentava artificialmente a demanda ao reter os códigos. Só depois que alguns códigos começaram a falhar e os clientes passaram a recorrer ao suporte da Microsoft é que a sorte de Kvashuk começou a mudar. Mas mesmo sem isso, a Microsoft já estava procurando por ele.
“A Microsoft já estava à caça. Em fevereiro de 2018, a equipe de ataque de investigação de fraude da empresa notou um aumento inexplicável nas compras online usando códigos de vale-presente que correspondia ao dobro dos níveis normais de resgate. A equipe de fraude da Microsoft teorizou que o hack veio de um problema externo’, de acordo com um relatório interno, mas logo percebeu que era um trabalho interno. “
Eventualmente, Kvashuk foi encontrado e despedido, deixando-o viver sua vida na casa que pagou com o dinheiro que roubou, junto com sua esposa. Infelizmente para ele, agentes federais também estavam investigando o assunto depois que a Microsoft encaminhou o caso para eles. Mais tarde, ele foi condenado a 9 anos de prisão e provavelmente será deportado de volta para a Ucrânia assim que for libertado.
A lição aqui é: se você encontrar uma brecha, não a explore. Não vale a pena e Kvashuk aprendeu isso da maneira mais difícil. Apesar de se safar por anos, no final das contas, custou muito a ele. Ainda assim, é fascinante ver o quão longe um homem conseguiu passar por uma brecha tão simples e astuta.
O que você acha das façanhas de Volodymyr Kvashuk? Deixe-nos um comentário.