盗取千万美元还用同事当替罪羊，前微软工程师被判入狱9年

一名微软前员工在诈骗自己的雇主1000万美元后，被法院判处9年徒刑。

Volodymyr Kvashuk 是一名 26 岁的软件开发人员，曾在 2016 年至 2018 年间任职于微软。在职期间，Kvashuk 在微软的一个零售平台测试项目中建立了测试账户，并将测试账户纳入白名单，可以在不产生实际费用的前提下购买产品。Kvashuk 利用这一漏洞购买了大量“数字储值卡”（如数字礼品卡）等并低价卖出，总计获得 1000 万美元利益。随后他用这些钱购买了价值 120 万美元的湖边别墅和价值 16 万美元的特斯拉汽车。

从 11 月 9 日公布的判决书上显示，Volodymyr Kvashuk 被判处入狱 9 年，另外还需赔偿微软 830 万美元。

用同事当替罪羊

这个复杂的网络犯罪事件能被调查清楚非常不容易。

最初 Kvashuk 使用的是自己的测试帐户，发现可以非法购买 CSV 之后，转而使用了他同事们创建的帐户来隐藏自己的踪迹，将未来可能到来的调查定向给了同事。

“最初，Kvashuk 用自己的账户只偷了价值约 1.2 万美元的少量 CSV。随后，Kvashuk 使用了与其他员工关联的测试电子邮件帐户。”司法部的新闻稿中说。

并且 Kvashuk 使用了“比特币混币服务”来掩盖他转移到银行帐户中的资金来源，经过七个月的非法活动，总共转移了约 280 万美元的比特币。Kvashuk 还伪造了税收表格，并说比特币是亲戚的礼物。这些行为让微软很难判定到底哪个账户背后的员工是真正的犯罪者。

后来微软用赎回的资金购买了三张 GeForce GTX 1070 显卡，并使用不同的测试账户名称，通过联邦快递将它们交付给他的公寓大楼，从而使 Kvashuk 和这三个欺诈性测试帐户建立了联系。

在审判中，Kvashuk 还表示他无意欺骗微软，并声称正在开展“有利于公司的特殊项目”。

美国检察官布莱恩·莫兰（Brian Moran）气愤的声称：“偷窃你的雇主已经够糟糕的了，但是你还污蔑你的同事，使你的同事蒙受连带责任，扩大了损害范围，这已经不仅仅是钱的事情了。” “此案需要复杂的技术才能进行调查和起诉，我很高兴执法人员具备了将这类罪犯绳之以法的技能。”

在调查人员成功破解案情之后，Kvashuk 被微软解雇。

事件回溯

Volodymyr Kvashuk 当时任职于微软 Universal Store 团队（UST），负责处理该公司的电子商务业务。微软公司 Azure DevOps 产品负责人 Sam Guckenheimer 曾在 2017 年做出正式说明称：“UST 是微软公司的主要商业引擎，使命是为微软的全部商业产品提供 One Universal Store 支持。UST 涵盖微软公司销售的所有产品，以及其他一切通过企业，消费者与商业，数字与物理，订阅与交易进行的，经由所有渠道及店面销售的产品。”

根据诉状，UST 成员负责在微软在线商店中设置虚拟账户，通过专门创建的电子邮件地址立足生产环境测试与信用卡的关联功能，从而在不产生实际费用的前提下进行产品购买。而后，Volodymyr Kvashuk 将其测试账户列入白名单，以绕过微软的安全与风险监测系统。

随后，Kvashuk 利用这一漏洞购买了大量微软商品，并以低于面值的折扣价从第三方手中换得大量货币——总价值高达 1000 万美元。这一欺诈活动据称于 2017 年开始，而后逐步升级。欲壑难填的 Kvashuk 基础年薪为 11 万 6 千美元，但却在华盛顿州伦顿市购置了价值 16 万 2 千美元的特斯拉汽车与 160 万美元的房产。

在设计测试系统时，微软方面忽略了一个重要的攻击向量。诉状解释称，“测试计划本应阻止实物交付，但微软公司没有预想到测试人员会利用数字货币（「Currency Stored Value」，简称 CSV）进行购买测试，因此没有采取任何阻止 CSV 交付的措施。”

如此一来，测试人员即可通过测试购买微软数字礼品卡，获取可兑换的有效产品密钥，并向与购买者账户相关联的数字钱包充值。在此之后，电子资金即可用于从微软商店购买数字或者实体产品。

高科技犯罪？！

微软 UST 欺诈调查打击小组（FIST）于 2018 年 2 月才注意到，微软 Xbox 游戏系统中的 CSV 购买订单出现了可疑增量。调查人员追踪这笔数字资金，发现产品已经通过两个不同的网站进行转售，而其根源则是两个被列入白名单的测试账户。

以此为起点，FIST 持续跟踪其中涉及的账户与交易。在美国相关部门的协助下，调查人员得出结论，认为 Kvashuk 对微软存在欺诈行为，包括尝试利用虚拟账户隐瞒自己的身份，并使用比特币混合服务隐藏公链交易。

检察官说：“知识渊博的 Kvashuk 试图掩盖可以追溯到欺诈行为和互联网销售的数字证据。”Kvashuk 使用了“比特币混币服务”来掩盖他转移到银行帐户中的资金来源，还使用了与其他员工关联的电子邮件帐户。混币是一个去中心化的隐私功能，可以让用户快速高效地与其他用户的资金进行混合，从而在现有账户和混币后的新账户之间创建随机的映射关系，实现完全匿名。

美国助理检察官维拉莫在结案陈词中说，Kvashuk“躲在他同事的名字后面……每一步都充满了欺诈和欺骗。”

根据律师办公室的说法，在五天的审讯中，Kvashuk 称他无意欺骗微软，并声称正在进行一个“有利于公司的特殊项目”。但他的前同事、助理律师 Michael Dion 称这份证词是“建立在谎言之上的又一个谎言”。

“Kvashuk 除了从微软偷东西，还通过隐藏虚假收入和提交虚假的纳税申报表的方式从政府偷东西。”IRS-CI 特别探员 Ryan L. Korner 在一份声明中说。“那些认为可以通过使用加密货币和通过混合器洗钱来逃避侦查的犯罪分子会受到警告……你会被抓住，并被追究责任。”

经过为期五天的审判后，除入狱 9 年，美国西雅图地方法院还判决 Kvashuk 犯有五项电信欺诈罪、六项洗钱罪、两项申报虚假纳税申报、两项严重身份盗窃指控、一项邮件欺诈指控、一项接入设备欺诈指控和一项访问受保护的计算机以助长欺诈指控。

程序员的职业道德

能利用职务之便或信息特权的“白领罪犯”无疑只占整体犯罪的极小一部分，但他们能力强大，这对互联网公司员工尤其是程序员们提出了更高的职业道德要求，而 Kvashuk 的案件更是给我们敲响了一记警钟。

2018 年 10 月份，InfoQ 也曾报道过类似事件：华夏银行三室处长覃某将其编写的“计算机病毒程序”植入华夏银行总行核心系统应用服务器，并通过该计算机病毒程序使其跨行 ATM 机取款的交易不能计入账户，自 2016 年 11 月至 2018 年 1 月间，覃某通过其掌控的华夏银行卡多次在 ATM 机上跨行取款，将银行资金 717.9 万元转入其使用控制的银行账户，非法占为己有。

对于 IT 从业者的程序员来说，职业道德应该是怎样的呢？IEEE（电气和电子工程师协会）曾制定过 IT 从业者的伦理准则（Code of Ethics），简单翻译以供参考：

IEEE 的成员认识到我们的技术在影响全世界生活质量方面的重要性，并承认对我们的专业、成员和所服务的社区具备义务，特此承诺保证最高的道德和职业行为，并同意：

1. 以保持公众的安全，健康和福利为准则，努力遵守道德设计和可持续发展实践，及时披露可能危害公众或环境的因素 ;

2. 尽可能避免实际或可感知的利益冲突，并在存在时向受影响的各方披露 ;

3. 在根据现有数据陈述索赔或估计时要诚实 ;

4. 拒绝一切形式的贿赂 ;

5. 提高个人和社会对传统和新兴技术（包括智能系统）的理解能力以及可能造成的社会影响的理解 ;

6. 保持和提高我们的技术能力，只有经过培训或具备资格，或在充分披露相关限制后，才能为他人承担技术任务 ;

7. 寻求，接受并提供对技术工作的诚实批评，承认和纠正错误，并妥善信任他人的贡献 ;

8. 公平对待所有人，不参与种族，宗教，性别，残疾，年龄，国籍，性取向，性别认同或性别表达等歧视行为 ;

9. 避免虚假或恶意行为伤害他人，财产，声誉或工作 ;

10. 协助同事的职业发展，并支持他们遵守职业道德准则。