安全测试员的职业道德败给贪念

故事简述

我们故事的主角是微软的一名安全测试猿——Volodymyr Kvashuk，他的工作是测试公司的电子商务基础设施，具体来说，他主要模拟微软网路商店的购买行为，寻找支付系统中的小故障。

在买买买的测试过程中，发现买Xbox礼品卡，微软商店发送的是真的可以换钱的5x5代码！

从此系统漏洞被当成「聚宝盆」，在被抓到之前成了测试猿发家致富之道。

最终，Kvashuk被判处在监狱服刑到2027年3月，之後他很可能会被遣返乌克兰，并且需要赔偿830万美元。

看到几个让废宅有些在意的关键字

1. 2017年微软聘用Kvashuk为年薪11.6万美元的全职工程师
2. Kvashuk得知了他同事的帐号密码，并使用了他们的帐号登入。登入前采用代理服务器逆踪。
3. 2019年3月公司调查人员发现微软商店团队员工的两个内部测试帐号有不正常活动。并连结到Paxful和其他网站上销售的价值近800万美元的礼品卡代买现象。黑掉2个测试帐号後，又发现第3个帐号行为可疑。
4. 2019年4月17日清查测试人员後发现，一个名为Fiddler的测试程序包含了泄露数据的测试人员登入，任何有权限进入Fiddler程序的人都有可能骇进了帐户，这表明偷礼品卡可能是其他雇员或承包商干的。
5. 2019年7月16日突袭、搜查发现不当得利佐证:大量现金、及其它物质条件远远优於员工收入水准，等多项不合理之处。

微软做对的事

1. 找专家: FIST团队求助於Andrew Cookson，这个人在微软处理了近15年的员工渎职调查。Cookson是cotland Yard电脑犯罪部门的一名资深侦探，他很快锁定了一个新的嫌疑人: Volodymyr Kvashuk。
2. 资料蒐集足以交叉比对犯罪事实:经过对资料的整理，微软发现Kvashuk的一个测试帐号在2017年非法购买了一些Xbox礼品卡。更可疑的是，Kvashuk与另一批被盗代码有关，这些代码曾被微软的网店用来购买三块高阶的GeForce显卡。

资料来源:
微软工程师发现测试漏洞、偷走大量Xbox礼品卡序号，2年暗杠1010万美元