10 Millionen US-Dollar mit Xbox-Geschenkkarten erschwindelt

© Microsoft

Es war einmal… ein Mitarbeiter bei Microsoft, der fast damit davongekommen wäre, Xbox-Geschenkkarten im Wert von über 10 Millionen Dollar zu stehlen.

Neue Details zum Xbox-Geschenkkartenbetrugsfall 2019 wurden jetzt veröffentlicht. Der Fall betraf einen Microsoft-Mitarbeiter, der für das Testen des Marktplatzes des Unternehmens, insbesondere seiner Geschenkkarten, verantwortlich war. Der Täter fand einen Fehler im System, entschied sich jedoch, ihn zu seinem eigenen Vorteil zu nutzen, anstatt ihn zu melden. Das Ergebnis war ein Schaden im Wert von 10 Millionen US-Dollar.

Geschenkkarten funktionieren, indem sie einen Code generieren, normalerweise eine Zeichenfolge mit 25 Buchstaben und Ziffern, die als 5×5-Code bekannt ist. Jedes 5×5 ist mit einem Geldbetrag verbunden, z. B. 15 oder 50 Euro. Der Code wird dann auf eine physische Geschenkkarte gedruckt oder per E-Mail an den Käufer gesendet. Wenn der Code ungenutzt bleibt ist es reiner Gewinn für das Unternehmen. Aus diesem Grund ist es nicht unvernünftig, Geschenkkarten als eine Art virtuelle Währung zu betrachten, ähnlich wie bei Bitcoin. Beide Systeme haben jedoch ihre Schwächen, die ein Microsoft-Mitarbeiter gerne missbrauchte.

Laut einem Bericht von Bloomberg wurde der 25jährige Volodymyr Kvashuk von Microsoft als Sicherheitsingenieur eingestellt, um an deren E-Commerce-Infrastruktur zu arbeiten. Kvashuk bemerkte jedoch schnell einen Fehler im System, den er dann ausnutzte, um ihm echte Codes für Xbox-Geschenkkarten zu senden, ohne bezahlen zu müssen.

Microsoft hat einen Test-Store, der es Mitarbeitern ermöglicht, gefälschte digitale Käufe zu tätigen, um Backend-Änderungen zu bewerten. Beim fragliche Fehler hat der Mitarbeiter die gleichen digitalen Einkäufe getätigt, jedoch als echtes Geschäft und ohne eine Zahlungsmethode zu überprüfen.

Kvashuk hätte den Fehler melden müssen, nutzte ihn aber stattdessen, um funktionierende digitale Codes für Xbox-Geschenkkarten zu generieren, die er online zu ermäßigten Preisen verkaufte. Mehr als ein paar Kunden von Kvashuk erhielten fehlerhafte Codes, was dazu führte, dass sie das Problem an Microsoft meldeten. Darunter auch der größte Käufer von Kvashuk, ein Händler aus China namens Makoo.

Durch das Einloggen in die Konten seiner Mitarbeiter, was aufgrund schwacher, erratbarer Passwörter möglich war, konnte Kvashuk tausende von Codes im Wesentlichen kostenlos erhalten. Er verkaufte sie dann online an andere Betrüger für Bitcoins. Mit dem schwankenden Wert der virtuellen Währung konnte Kvashuk mit minimalem Aufwand Bargeld einstreichen. Währenddessen hielten ihn seine Kollegen angeblich für einen netten Kerl. Er war ein guter Mitarbeiter und benahm sich nie reich. Aber seine Käufer waren sich dessen nicht bewusst.

Er wurde Berichten zufolge schon irgendwann im Jahr 2017 auf den Fehler aufmerksam und begann sofort, ihn auszunutzen. Microsoft erkannte, dass etwas durcheinander ging, als es einen starken Anstieg der Verwendung von Xbox-Geschenkkarten bemerkte, und wies sein Betrugsuntersuchungs-Streikteam an, die Angelegenheit bis Anfang 2018 zu untersuchen.

Nachdem die Untersuchung abgeschlossen war, entließ Microsoft Kvashuk im Juni 2018 und präsentierte seine Ergebnisse für eine rechtliche Verfolgung. Kvashuk konnte in der Zwischenzeit sein eigenes Haus am Seeufer im Wert von 1,675 Millionen US-Dollar mit dem Erlös der gestohlenen Xbox-Geschenkkarten kaufen.

Im Juli 2019 durchsuchten Bundesagenten den ehemaligen Microsoft-Mitarbeiter und stellten ihn vor Gericht. Er wurde im November 2020 wegen Geldwäsche, Postbetrug und Identitätsdiebstahl für schuldig befunden und zu neun Jahren Gefängnis verurteilt.

Was den besagten Fehler im System betrifft, hat Microsoft ihn seitdem beseitigt und wahrscheinlich neue Sicherheitsmaßnahmen hinzugefügt, um zu verhindern, dass ein weiterer Kvashuk entsteht.

Während Kvashuk schließlich gefunden, vor Gericht gestellt und verurteilt wurde, ist seine Geschichte immer noch eine Warnung für Unternehmen und Einzelpersonen: Virtuelle Währungen wie Geschenkkarten und Bitcoin sind leichter zu waschen und zu missbrauchen als Bargeld. Echtes Geld sollte in einer Testumgebung nicht verwendet werden, und starke Passwörter sind für Betrüger ein größeres Hindernis, als viele denken. Es gibt immer noch viele Betrüger, die bereit sind, die Lücke zu füllen, die er hinterlassen hat, aber sie werden wahrscheinlich nicht so nachlässig sein wie Kvashuk.

0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments