時間:2019-07-26 來源:互聯網 瀏覽量:
據 The Register 的最新報道,一位前微軟開發工程師 Volodymyr Kvashuk 於本周二被逮捕,因其涉嫌從前雇主處竊取總值達 1000 萬美元的數字貨幣。
據了解,今年 25 歲的 Volodymyr Kvashuk 為居住在華盛頓州倫頓市的烏克蘭公民,其於 2016 年 8 月被聘為微軟正式員工,並於 2018 年 6 月被微軟公司解雇。根據檢方公布的訴狀,Kvashuk 已被西雅圖聯邦地方法院起訴。
Volodymyr Kvashuk 曾任職於微軟 Universal Store 團隊(UST),負責處理該公司的電子商務業務。微軟公司 Azure DevOps 產品負責人 Sam Guckenheimer 曾在 2017 年做出正式說明稱:“UST 是微軟公司的主要商業引擎,使命是為微軟的全部商業產品提供 One Universal Store 支持。UST 涵蓋微軟公司銷售的所有產品,以及其他一切通過企業,消費者與商業,數字與物理,訂閱與交易進行的,經由所有渠道及店麵銷售的產品。”
根據訴狀,UST 成員負責在微軟在線商店中設置虛擬賬戶,通過專門創建的電子郵件地址立足生產環境測試與信用卡的關聯功能,從而在不產生實際費用的前提下進行產品購買。而後,Volodymyr Kvashuk 將其測試賬戶列入白名單,以繞過微軟的安全與風險監測係統。
隨後,Kvashuk 利用這一漏洞購買了大量微軟商品,並以低於麵值的折扣價從第三方手中換得大量貨幣——總價值高達 1000 萬美元。這一欺詐活動據稱於 2017 年開始,而後逐步升級。欲壑難填的 Kvashuk 基礎年薪為 11 萬 6 千美元,但卻在華盛頓州倫頓市購置了價值 16 萬 2 千美元的特斯拉汽車與 160 萬美元的房產。
目前,當局已經要求對 Kvashuk 實施拘留,並稱他可能試圖逃離美國或者妨礙司法公正。如果確被判處犯有欺詐罪,這位前微軟開發工程師可能麵臨高達 20 年的監禁與 25 萬美元罰款。
在設計測試係統時,微軟方麵忽略了一個重要的攻擊向量。訴狀解釋稱,“測試計劃本應阻止實物交付,但微軟公司沒有預想到測試人員會利用數字貨幣(「Currency Stored Value」,簡稱 CSV)進行購買測試,因此沒有采取任何阻止 CSV 交付的措施。”
如此一來,測試人員即可通過測試購買微軟數字禮品卡,獲取可兌換的有效產品密鑰,並向與購買者賬戶相關聯的數字錢包充值。在此之後,電子資金即可用於從微軟商店購買數字或者實體產品。
訴狀稱,Kvashuk 的操作已經被微軟 UST 欺詐調查打擊小組(FIST)撤銷。該小組於 2018 年 2 月注意到,微軟 Xbox 遊戲係統中的 CSV 購買訂單出現了可疑增量,調查人員追蹤這筆數字資金,發現產品已經通過兩個不同的網站進行轉售,而其根源則是兩個被列入白名單的測試賬戶。
以此為起點,FIST 持續跟蹤其中涉及的賬戶與交易。在美國相關部門的協助下,調查人員得出結論,認為 Kvashuk 對微軟存在欺詐行為,包括嚐試利用虛擬賬戶隱瞞自己的身份,並使用比特幣混合服務隱藏公鏈交易。
除了指向 Kvashuk 的服務供應商記錄之外,訴狀還提到微軟公司的在線商店使用了一種被稱為模糊設備 ID 的指紋識別方式。據稱,調查人員成功將特定設備 ID 與 Kvashuk 的相關賬戶聯係了起來。
無論從事什麼行業,職業道德都是最基本的底線。2018 年 10 月份,InfoQ 也曾報道過類似事件:華夏銀行三室處長覃某將其編寫的“計算機病毒程序”植入華夏銀行總行核心係統應用服務器,並通過該計算機病毒程序使其跨行 ATM 機取款的交易不能計入賬戶,自 2016 年 11 月至 2018 年 1 月間,覃某通過其掌控的華夏銀行卡多次在 ATM 機上跨行取款,將銀行資金 717.9 萬元轉入其使用控製的銀行賬戶,非法占為己有。
對於 IT 從業者的程序員來說,職業道德應該是怎樣的呢?IEEE(電氣和電子工程師協會)曾製定過 IT 從業者的倫理準則(Code of Ethics),簡單翻譯以供參考:
IEEE 的成員認識到我們的技術在影響全世界生活質量方麵的重要性,並承認對我們的專業、成員和所服務的社區具備義務,特此承諾保證最高的道德和職業行為,並同意:
以保持公眾的安全,健康和福利為準則,努力遵守道德設計和可持續發展實踐,及時披露可能危害公眾或環境的因素 ;盡可能避免實際或可感知的利益衝突,並在存在時向受影響的各方披露 ;在根據現有數據陳述索賠或估計時要誠實 ;拒絕一切形式的賄賂 ;提高個人和社會對傳統和新興技術(包括智能係統)的理解能力以及可能造成的社會影響的理解 ;保持和提高我們的技術能力,隻有經過培訓或具備資格,或在充分披露相關限製後,才能為他人承擔技術任務 ;尋求,接受並提供對技術工作的誠實批評,承認和糾正錯誤,並妥善信任他人的貢獻 ;公平對待所有人,不參與種族,宗教,性別,殘疾,年齡,國籍,性取向,性別認同或性別表達等歧視行為 ;避免虛假或惡意行為傷害他人,財產,聲譽或工作 ;協助同事的職業發展,並支持他們遵守職業道德準則。最後多說一句,小編是一名python開發工程師,這裏有我自己整理了一套最新的python係統學習教程,包括從基礎的python腳本到web開發、爬蟲、數據分析、數據可視化、機器學習等。想要這些資料的可以關注小編,並在後台私信小編:“01”即可領取。