マイクロソフトの決済システムテスト用に使用されたシステムの不備を突き、エンジニアが2年にわたりXboxのギフトカードを販売し1,000万ドル以上を騙し取っていたことが明らかになりました。
マイクロソフトは決済システムが機能することを確認するために、エンジニアを雇用してストアでの購入をシミュレートしています。しかし、2017年に入社したVolodymyr Kvashuk氏は購入テストに使われるアカウントに欠陥があることを発見します。
例えば、コントローラーをストアから購入してもテスト用アカウントの購入に物理的な商品の発送は行われません。しかし、Xboxギフトカードを購入した場合デジタル商品であるため、有効な25桁のコードが受け取ることができてしまったとのこと。Kvashuk氏はこの欠陥を悪用して、悪事に手を染めてしまったのです。
初めは5ドルや10ドルほどの小遣い稼ぎとして悪用していましたが、自分の痕跡を隠しつつ大金を手にできるように同僚の偽プロフィールを作成して取引という手口も利用し、ついにはそのプロセスを自動化する特注ソフトウェアまで使い始めてしまいました。入手したコードは安くまとめて販売した後マネーロンダリングサイトで痕跡を隠し、大金を得たといいます。Kvashuk氏に対するマイクロソフトの給与は決して少ないわけではなく、単に欲張ってしまった結果の事件であるようです。
マイクロソフトは最終的にギフトカードの取引が不自然に急増していことに気づき、不正に気づきました。2019年7月には連邦捜査官がKvashuk氏に対し家宅捜索をおこない、法廷では「ストアの支出を増やすための実験だった」と主張していましたが、氏は9年の実刑判決と830万ドルの返還を請求されることに。また、母国であるウクライナに強制送還される可能性が高いとのことです。
