La façon dont il a rassemblé les fonds ne semble même pas si nuisible, mais le résultat et la punition montrent la force.
Bloomberg rapporte que Volodymyr Kvashuk a dû passer neuf ans en prison et qu’il a dû restituer 8,3 millions de dollars pour avoir vendu des cartes-cadeaux Xbox en bitcoins. Comment a-t-il réussi à faire cela ? La réponse est simple : l’ingénieur s’est introduit facilement dans le système.
Microsoft emploie des ingénieurs pour “simuler” des achats dans ses magasins. C’est la méthode utilisée par l’entreprise de Redmond pour s’assurer que ses systèmes de paiement fonctionnent. Cependant, Kvashuk, qui a rejoint Microsoft en 2017, a rapidement remarqué une faille dans les comptes de test d’achat.
En bref, ils ne permettent pas d’effectuer des achats réels. Par exemple, vous ne pouvez pas acheter une manette de Xbox One avec eux. Mais, un oubli a fait que ces comptes étaient tout de même capables de recevoir les codes de cartes-cadeaux Xbox à vingt-cinq chiffres. Kvashuk aurait pu signaler la faille à ses supérieurs (ce qui aurait pu lui valoir une belle prime), mais il a préféré choisir l’argent.
Au début, Kvashuk s’est contenté de générer des codes de 5 ou 10 dollars pour lui. (Et s’il s’en était tenu à cela, il n’aurait peut-être eu droit qu’à un avertissement de Microsoft, le montant en espèces étant déduit de son salaire. Car ce ne serait que de la menue monnaie pour l’entreprise). Mais plus tard, il a commencé à utiliser davantage l’exploit en parcourant les profils des collègues pour masquer ses traces, puis en créant un programme, qui a été décrit comme tel par les procureurs chargés des logiciels : “[il a été] créé dans un but, et un seul : automatiser les détournements de fonds et permettre la fraude et le vol à grande échelle”.
Kvashuk vendait ces codes sur Paxful par exemple (une place de marché de crypto-monnaies), en les vendant en gros avec un rabais, ce qui permettait ensuite aux acheteurs de les revendre avec un bénéfice. ChipMixer (un site de blanchiment d’argent) lui aurait permis de dissimuler sa trace, mais le fait que son style de vie ait plutôt évolué vers le fastueux n’a pas arrangé les choses, même s’il avait un solide salaire chez Microsoft, selon Bloomberg. Mais cela n’aurait pas suffi pour s’offrir un hydravion, un yacht et plusieurs somptueuses maisons à Maui, en Californie, ou à Mercer Island… et il avait transféré 2,8 millions de dollars sur son compte bancaire, donc il avait de l’argent pour acheter tout cela.
Microsoft a remarqué l’exploit en constatant un pic significatif dans les transactions par carte cadeau. Cela a conduit les agents fédéraux à finalement faire une descente à son domicile en juillet 2019. Devant le tribunal, Kvashuk a tenté de faire valoir que le vol massif n’était qu’une expérience pour augmenter les dépenses des magasins, ce qui n’a mené nulle part, puisque Kvashuk a été expulsé vers l’Ukraine pour passer neuf ans en prison (sans oublier l’amende qu’il doit payer).
Qui sait comment sa vie aurait continué s’il avait simplement alerté Microsoft de la faille, car l’entreprise l’aurait grassement rémunéré pour l’avoir découverte…
Source : PCGamer