دادستان ایالات متحده اعلام کردند که روز سهشنبه، مهندس سابق مایکروسافت را به اتهام کلاهبرداری ایمیلی و سرقت ۱۰ میلیون دلار ارز دیجیتال از کارفرمای سابق خود دستگیر کردند. ولادیمیر کواشوک (Volodymyr Kvashuk)، شهروند ۲۵ سالهی اوکراینی ساکن واشنگتن، در گذشته بهصورت پیمانکاری برای مایکروسافت مشغول به کار بود و در اوت سال ۲۰۱۶ بهعنوان کارمند بهطور رسمی در این شرکت فناوری استخدام شد. او در ژوئن ۲۰۱۸ از این شرکت اخراج شد.
طبق شکایتی که دادستانی در دادگاه فدرال سیاتل ثبت کرده است، کواشوک عضو تیم فروشگاه جهانی مایکروسافت (UST) بود - تعمیرات مایکروویو وست پوینت چهاردانگه - و مسئولیت ادارهی عملیاتهای - تعمیرات مایکروویو وست پوینت چهاردانگه - تجارت الکترونیک شرکت را به عهده داشت. - تعمیرات مایکروویو وست پوینت چهاردانگه - سامت گوکنهایمر (Sam Guckenheimer)، - تعمیرات مایکروویو وست پوینت چهاردانگه - مالک Azure DevOps در مایکروسافت سال ۲۰۱۷ اینگونه توضیح داده بود:
تعمیرات مایکروویو وست پوینت چهاردانگه برای شما در کمترین زمان
UST موتور تجاری اصلی مایکروسافت بهشمار میآید که مأموریت دارد فروشگاه وان یونیورسال (One Universal) را وارد همهی تجارتهایی که مایکروسافت در آن درگیر است، بکند. UST همهی مواردی که مایکروسافت میفروشد و همهی مواردی که دیگران از طریق شرکت بهفروش میرسانند، اعم از - تعمیرات مایکروویو وست پوینت چهاردانگه - مصرفکننده و اقلام تجاری، محصولات دیجیتال و فیزیکی، حق اشتراک و تراکنشهای مالی را در تمام کانالها و فروشگاههای جنبی خود شامل میشود.
همانطور که در متن این شکایت توضیح داده شده است، اعضای UST حسابهای کاربری ساختگی بهعنوان مشتری میساختند که فروشگاه آنلاین مایکروسافت را به آدرسهای ایمیل و کارتهای اعتباری که ویژهی این کار ساخته شده بود متصل میکرد. این کارتهای اعتباری، - تعمیرات مایکروویو وست پوینت چهاردانگه - مخصوص تست محصولات بودند، طوری که با استفاده از آنها و بدون اینکه آنها را واقعا شارژ کنند، از فروشگاه خرید میکردند. در ادامه، اعضای تیم - تعمیرات مایکروویو وست پوینت چهاردانگه - برای اینکه بتوانند سیستمهای امنیتی و کاهش ریسک مایکروسافت را دور بزنند، برای حسابهای کاربری آزمایشی خود استثناهایی قائل شده بودند - تعمیرات مایکروویو وست پوینت چهاردانگه - و یک فهرست مجاز از اینگونه حساب ها تهیه کرده بودند.
اما، مایکروسافت در طراحی سیستم تست خود از یک بردار مهم حمله غافل مانده بود. در متن شکایت آمده است:
تعمیرات مایکروویو وست پوینت چهاردانگه کیفیت بالا، خدمات متفاوت
برنامهی تست طوری طراحی شده بود که از - تعمیرات مایکروویو وست پوینت چهاردانگه - ارسال و تحویل - تعمیرات مایکروویو وست پوینت چهاردانگه - کالاهای فیزیکی جلوگیری میکرد. ولی مایکروسافت، این موضوع را پیشبینی نکرده بود که آزمایشکنندهها ممکن است بهصورت آزمایشی دست به خرید ارز دیجیتال (ارزش ذخیرهشدهی ارزی دیجیتال یا CSV) بزنند و در نتیجه، هیچ اقدام امنیتی برای جلوگیری از تحویل CSV اندیشیده نشده بود.
بنابراین، هر کدام از این افراد میتوانند گیفتکارتهای دیجیتال مایکروسافت را بهعنوان یک طرح آزمایشی بخرند و کد محصول معتبری به دست بیاورند که به اعتبار کیف دیجیتال مرتبط با حساب کاربری خریدار میافزود. آنها مبلغ الکترونیکی اعتباریافته را میتوانستند برای خرید محصولات - تعمیرات مایکروویو وست پوینت چهاردانگه - فیزیکی یا دیجیتالی از فروشگاه مایکروسافت استفاده کنند.
ادعا - تعمیرات مایکروویو وست پوینت چهاردانگه - میشود که کواشوک، ضمن خرید محصولات مایکروسافت بااستفاده از این اعتبار، بخش زیادی از آن را (که گفته میشود در - تعمیرات مایکروویو وست پوینت چهاردانگه - حدود ۱۰ میلیون دلار - تعمیرات مایکروویو وست پوینت چهاردانگه - ارزش داشت) به افراد دیگر فروخته است. او این فروش را با تخفیف و کمتر از ارزش اسمی آن انجام میداد. تصور میشود اجرای این طرح از سال ۲۰۱۷ آغاز شد و بهقدری ادامه یافت که کواشوک که تنها ۱۱۶ هزار دلار در سال حقوق دریافت میکرد، توانست یک خودروی تسلای ۱۶۲ هزار دلاری و یک خانهی یک میلیون و ۶۰۰ هزار دلاری - تعمیرات مایکروویو وست پوینت چهاردانگه - برای خود در رنتون در ایالت واشنگتن بخرد.
مایکروسافت در طراحی سیستم تست خود هیچ طرح امنیتی برای جلوگیری از تحویل واقعی CSV نیندیشیده بود
طبق متن شکایت، تیم ویژهی تحقیق دربارهی کلاهبرداری UST در مایکروسافت - تعمیرات مایکروویو وست پوینت چهاردانگه - (FIST) که متوجه افزایش مشکوک - تعمیرات مایکروویو وست پوینت چهاردانگه - در میزان استفاده از CSV برای خرید اشتراک - تعمیرات مایکروویو وست پوینت چهاردانگه - برای ایکسباکس مایکروسافت در فوریه ۲۰۱۸ شده بود، کواشوک را از کار برکنار - تعمیرات مایکروویو وست پوینت چهاردانگه - کرد. بازرسان موفق - تعمیرات مایکروویو وست پوینت چهاردانگه - به ردیابی مبالغ دیجیتال شدند؛ این مبالغ در دو وبسایت مختلف و به دو حساب کاربری آزمایشی که در - تعمیرات مایکروویو وست پوینت چهاردانگه - فهرست مجاز تعریفشده قرار داشتند، فروخته شده بود. با ادامهی پیگیریهای FIST، آنها موفق به ردیابی حسابهای کاربری و تراکنشها شدند و - تعمیرات مایکروویو وست پوینت چهاردانگه - سرانجام، با وجود همهی مخفیکاریهای کواشوک و با کمک سرویس مخفی ایالات متحده و سرویس درآمدهای داخلی، به این نتیجه رسیدند شخصی که مایکروسافت را فریب داده است، کسی نیست جز کواشوک. وی، برای پنهان نگهداشتن هویت خود، از حسابهای کاربری ساختگی و نیز از یک سرویس ترکیبی بیتکوین برای آشکارنبودن تراکنشهای بلاکچین عمومی استفاده کرده بود.
علاوهبر سوابق ارائهشده توسط خدماتدهندگان که مشخصا به کواشوک اشاره میکند، متن شکایت به این نکته اشاره میکند که فروشگاه آنلاین مایکروسافت از نوعی دستگاه برای ثبت اثرانگشت موسوم به فازی دیوایس آیدی (Fuzzy Device ID) استفاده میکند. ادعا میشود که بازرسان یک شناسهی دستگاهی خاص را به حسابهای مرتبط با کواشوک متصل - تعمیرات مایکروویو وست پوینت چهاردانگه - کرده بودند. مقامات با این ادعا که امکان فرار وی از کشور یا ممانعتش از - تعمیرات مایکروویو وست پوینت چهاردانگه - اجرای عدالت وجود دارد، خواهان بازداشت کواشوک شدند. اگر اتهام این مهندس نرمافزار سابق مایکروسافت درخصوص کلاهبرداری ایمیلی و دزدی از مایکروسافت ثابت شود، احتمالا به ۲۰ سال - تعمیرات مایکروویو وست پوینت چهاردانگه - زندان و پرداخت ۲۵۰ هزار دلار جریمه محکوم خواهد شد.