Ingegnere Microsoft ruba 10 milioni di dollari all'azienda: ecco come ha fatto

Un ingegnere software in passato alle dipendenze di Microsoft è stato condannato a nove anni di carcere per aver rubato più di 10 milioni di dollari di credito dal negozio online dell'azienda. Dal 2016 al 2018, Volodymyr Kvashuk ha lavorato per Microsoft come tester, effettuando ordini online per assicurare alla compagnia che tutto funzionasse senza problemi. Il software impedisce in automatico la spedizione di prodotti fisici ai tester ma questo non avviene con i buoni regalo virtuali, ed è qui che è avvenuta la truffa da parte di Kvashuk.

Il ventiseienne dell'Ucraina ha così gabbato i sistemi di Microsoft, scoprendo che poteva usare il suo account di prova per acquistare crediti da spendere nello store per acquistare prodotti reali. Kvashuk è riuscito così ad acquistare inizialmente un abbonamento a Office e un paio di schede grafiche ma, scoprendo che nessuno si opponeva a quei piccoli acquisti, è divenuto sempre più audace: tra la fine del 2017 e l'inizio del 2018 l'ingegnere ha infatti rubato crediti del valore di milioni di dollari rivendendoli online in cambio di Bitcoin, incassati in seguito via Coinbase.

I pubblici ministeri statunitensi affermano che ha incassato almeno 2,8 milioni di dollari, usati in parte per acquistare una Tesla da oltre 150 mila dollari e una casa da 1,6 milioni di dollari. Kvashuk ha ottenuto proventi di gran lunga inferiori rispetto al maltolto, dal momento che ha potuto rivendere il credito per lo store Microsoft a cifre molto più basse rispetto al loro reale valore.

Ingegnere Microsoft ruba 10 milioni in crediti per lo store online

L'ingegnere non ha fatto molto per oscurare i primi acquisti ma, man mano che la somma complessiva estorta aumentava, ha iniziato a prendere precauzioni più valide utilizzando ad esempio account creati in precedenza da colleghi (condivisi in documenti online) per eseguire i nuovi furti. Nel tempo ha anche utilizzato indirizzi e-mail usa e getta, e ha iniziato a collegarsi via VPN per nascondere ogni traccia delle proprie attività online. Prima di incassare i Bitcoin li ha inviati a un servizio di coin mixing per nascondere le loro origini sostenendo che fossero un regalo del padre. 

A processo Kvashuk non si è dimostrato pentito di quanto fatto. I pubblici ministeri hanno portato diverse prove che collegavano Kvashuk ai furti, come l'uso della stessa connessione VPN - quindi lo stesso IP - per collegarsi a diversi account, consentendo a chi ha svolto le indagini di stabilire connessioni tra i suoi account e quelli utilizzati per furti successivi. Il rilevamento di impronte digitali sui dispositivi ha fornito ulteriori prove che hanno collegato Kvashuk ai furti di maggiore entità. Inoltre, gli investigatori hanno dichiarato che "il valore dei bitcoin depositati sul conto Coinbase di Kvashuk era generalmente correlato al valore del credito Microsoft acquistato e riscattato".

Kvashuk è stato condannato pertanto a pagare 8,3 milioni di dollari in restituzione a Microsoft, ma sembra improbabile che sarà mai in grado di farlo. Una volta scontata la pena in prigione, inoltre, l'ingegnere potrebbe essere mandato in esilio dagli Stati Uniti.