你是否曾在网络看过低价 Xbox 礼品卡,让你以低于市价几折的价格买入礼品卡?你有没有想过,这些礼品卡是怎么来的?
这个故事或许可解答疑惑。
Xbox礼品卡有一串5个5组、共25个字母及数字组合的字串,这格式在很多软件序号或串流账号都用过,通称为5×5码。Xbox礼品卡与商店货架其他琳琅满目的礼品卡看起来没什么差别,与苹果、迪士尼、Sony等公司的礼品卡混在一起。当然卡片本身不值钱,但每张卡片封起来的每个5×5码,背后都对应一笔金额,让人兑换购买商品。
从这角度看,礼品卡可视为数位货币,当然不可避免吸引投机者,且由于交易匿名,也吸引许多骗徒。
不过这次事件主角,刚好正是微软自家电子商务部门工程师。他因为发现Xbox礼品卡的Bug,从此误入歧途。
测试微软电子商务流程,意外发现一个愚蠢的BUG
乌克兰籍的Volodymyr Kvashuk,2017年起在微软总部任职,工作是测试电子商务基础设施。
他的团队工作重点,是模拟在微软网络商店购买行为,寻找支付系统漏洞及故障。这意味他必须在微软商店大量假性购买。如果Kvashuk加入一台Dell笔电到购物车,就使用微软提供的假信用卡账号完成交易,并记录过程发生的任何错误。
由于他使用特定“假账号”,系统知道这次购买是假的,不会真的把笔电送到他家。
至少,这是微软认为正常会发生的事。
然后Kvashuk发现一个改变他生活的BUG,这BUG可说近乎愚蠢,以至于他没有向经理报告:他注意到每当测试网络购买礼品卡商务流程时,虽然用假信用卡号码,但微软商店会发放真的礼品卡给他,一串真的5×5码。
他发现可用这种方式,生成几乎无限5×5码,且完全没有成本、一切免费。
Kvashuk开始他的“摇钱树”行动。起初规模不大,以10~100美元数量购买Xbox礼品卡。但日子一久,他胆子越来越大,金额也升级了。
如何将“生意”程式化?
在微软,Kvashuk给前高级工程师的印象是,他很狂妄,似乎陶醉在竞争激烈的环境工作,与同事争相发明“下一件大事”。
目前还不清楚Kvashuk到底什么时候发现微软安全系统的礼品卡漏洞,但2017年时,也就是微软聘他担任全职工程师的时间点,当时团队任务只是为了测试电子商务网站运送实体商品的购买行为。
因此整个测试流程设计,主要是针对个人电脑、平板电脑、键盘等购买行为。微软并没打算让测试人员订购Xbox礼品卡这种虚拟商品,因此也没考虑到这Bug。Kvashuk本可向上司回报问题,但他选择隐瞒不说。
Kvashuk和同事测试电子商务系统时,通常用几个化名注册的身份切换,这些化名档案因是假的,所以填写的身份资料也是敷衍带过。反正账号出了微软大门就几乎没用。
为了掩护自己,Kvashuk知道取得同事的密码,使用他们的化名测试登录。
那年秋天他在西雅图公寓里,透过日本和俄罗斯VPN服务器登入掩护真实IP地址,然后使用同事账号下测试订单,立即出现几十个礼品卡代码,价值2,000美元,然后是4,200美元,最后越来越多。
2018年1月,Kvashuk行动升级,写了一个计算机程序PurchaseFlow.CS,以加快赚钱速度。只要用程式点击,他就可选择礼品卡面额(30、75、100)、输出货币(美元、欧元、英镑)及购买数量。
两年后FBI抓到他时,已盗领超过15.2万张Xbox礼品卡,价值1,010万美元,且住进一栋价值百万美元的湖滨别墅,还计划购买滑雪小屋、游艇和水上飞机。
2020年11月,法官判他九年监禁刑期。
- ROBBING THE XBOX VAULT: INSIDE A $10 MILLION GIFT CARD CHEAT
(图片来源:微软)
