Xbox-Gutscheinkarten: Mitarbeiter betrog Microsoft um 10 Millionen US-Dollar

Statt Fehler beim Kauf von Gutscheinen zu melden, nutzte ein ehemaliger Microsoft-Mitarbeiter seinen Fund, um Millionen in Bitcoin zu machen.

Artikel veröffentlicht am , Christian Hensen
Mit wenigen Klicks zum Millionär - selten legal
Mit wenigen Klicks zum Millionär - selten legal (Bild: S K/ Pixabay)

Vergangenen November erhielt der ehemalige Microsoft-Mitarbeiter Vlodymyr K. eine neunjährige Haftstrafe für ein nahezu filmreifes Verbrechen. Mit einem von ihm entdeckten Fehler beim Testkauf eigentlich ungültiger Xbox-Gutscheinkarten generierte er über zwei Jahre hinweg Codes mit einem reellen Gegenwert von rund 10 Millionen US-Dollar (8,4 Millionen Euro). Aufgeflogen ist der 26-jährige Ukrainer durch eine Reihe kleinerer Fehler, die das Microsoft-interne Fraud Investigation Strike Team (FIST) auf die Spur brachten.

Stellenmarkt
  1. Instructional Designer*in (m/w/d) Micro-Learning, Multi-Media, Mobile
    Haufe Group, Freiburg
  2. Datenarchitekt / Data Scientist (m/w/d)
    Arte G.E.I.E., Straßburg (Frankreich)
Detailsuche

Die eigentliche Aufgabe des Mitarbeiters bestand darin, Käufe und digitale Zahlungen im Microsoft-Shop-Universum zu simulieren und Fehler dabei zu protokollieren, damit Endkunden möglichst reibungslos vom Warenkorb zur Bestellbestätigung kommen. Die Shop-Systeme kannten seine Test-Kreditkarte natürlich und sämtliche Bestellungen wurden nach Abschluss als Simulation erkannt, sodass keine Ware geliefert wurde. Außer bei einem Artikel: Ein Fehler erlaubte es K., beim Kauf von Gutscheinen statt wertloser Testcodes echtes Guthaben zu generieren, das von jedem gegen echte Ware im Microsoft-Store eingelöst werden konnte.

Zu Beginn hielt sich K. zurück und begann damit, kleinere Guthaben zu generieren, etwa 10 oder 100 US-Dollar. Doch dann packte ihn die Gier. Wie Bloomberg berichtet, machte K. ein ausgesprochen lukratives Geschäft aus seiner Zufallsentdeckung. Im Rahmen der Ermittlungen stieß das FBI auf insgesamt 152.000 Gutscheinkarten, die K. generiert und verkauft hatte. Passend dazu beschlagnahmten die Behörden eine Millionenvilla mit Seeblick, eine Yacht und ein Wasserflugzeug.

Vollautomatisierter Reichtum

Bloomberg beschreibt nach Sichtung der Gerichtsunterlagen im Detail, wie der junge Mitarbeiter sein Kartenhaus aufgebaut hat: Um die späteren Masseneinkäufe zu verschleiern, verschaffte sich K. den Zugang zu den Testkauf-Accounts seiner Kollegen und skalierte. Über VPNs loggte er sich von Zuhause in den Shop ein und verifizierte sein Schema. Kurze Zeit später schrieb er ein Script und automatisierte die Käufe. Ein Klick, ein Kauf. Simpel. Sicher.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  3. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
Weitere IT-Trainings

Die hohen Summen fielen laut Bericht deshalb nicht auf, weil Microsoft zum Zeitpunkt der Tat Hunderte Millionen mit Guthabenkarten umsetzte und daher keine großen Schwankungen erkennbar waren. Für K. das perfekte Verbrechen. Nachdem er seine Excel-Datei mit mehreren Tausend Zeilen gefüllt hatte, war es für ihn Zeit, Kasse zu machen.

Im März 2018 verkaufte er seine Codes mit einem unschlagbaren Rabatt von 55 Prozent. Über Paxful.com, einen Geschenkkarten-Marktplatz für private Nutzer, wandelte er sein Microsoft-Gold in Bitcoin um - Stück für Stück. Alleine im besagten Monat wanderten so 1,4 Millionen US-Dollar über Umwege auf seinem Konto. Der Bank erzählte er ein Märchen von Bitcoin-Glück und familiären Zuwendungen.

Xbox Live - 20 EUR Guthaben [Xbox Live Online Code]

Seine Kunden brachten ihn zu Fall

Doch obwohl es so gut begann, fiel irgendwann an anderer Stelle bei Microsoft auf, dass etwas mit den Codes nicht stimmte. Immer mehr Käufer meldeten sich bei K. und forderten ihr Geld zurück, da seine Codes nicht länger einlösbar waren. Wer hinter der Entdeckung stand, sollte K. schon bald erfahren. Denn da seine Codes in Windeseile im Shop zum Einsatz kamen, stellte Microsofts Sicherheitsteam FIST ungewöhnliche Aktivitäten mit Guthabenkarten und eine ungewöhnlich hohe Einlösequote im Shop fest und begann, sich dem Fall zu widmen. Denn nicht der Kauf der Karten war das Problem, sondern deren Umwandlung in Waren und zu viele Bestellungen über Guthaben im Verhältnis zu anderen Bezahlmethoden.

Im Laufe der Ermittlungen, bei denen diverse Daten wie genutzte Office-Zugänge, Mitarbeitergespräche, Adressabgleiche, Browserdaten aus veralteten Firefox-Versionen und weitere kleine Fehler zusammenliefen, gab es schon nach kurzer Zeit einen Tatverdächtigen. Microsoft feuerte K. und übergab den Fall den Behörden. Noch während die Ermittlungen liefen und K. seinen Job längst verloren hatte, trudelten auf seinem Instagram-Profil Bilder eines Luxuslebens ein. Erst im Juli 2019 stürmten Polizisten sein Anwesen, beschlagnahmten Beweismittel und setzten dem Betrug ein Ende. Bis 2027 sitzt K. nun im Gefängnis, im Anschluss droht ihm die Auslieferung in sein Heimatland.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
BMW-CTO Frank Weber
Keine digitale Technik ist relevanter als andere

Für BMW hat die Software eine zentrale Rolle beim Bauen und Verkaufen von Autos. Der Entwicklungschef will dennoch beim autonomen Fahren nichts überstürzen.
Ein Interview von Maja Hoock und Friedhelm Greis

BMW-CTO Frank Weber: Keine digitale Technik ist relevanter als andere
Artikel
  1. Connect-App: CDU verklagt offenbar Hackerin nach Melden von Lücken
    Connect-App
    CDU verklagt offenbar Hackerin nach Melden von Lücken

    Nach dem Auffinden einer Lücke in einer CDU-App verklagt die Partei nun die Finderin. Der CCC will deshalb keine Lücken mehr an die CDU melden.

  2. Victorian Big Battery: Tesla-Speicher brannte vier Tage lang
    Victorian Big Battery
    Tesla-Speicher brannte vier Tage lang

    Viel Aufwand war nötig, um das brennende Akku-Modul zu löschen.

  3. Starkvind: Ikea-Luftreiniger läuft mit Homekit und anderen Systemen
    Starkvind
    Ikea-Luftreiniger läuft mit Homekit und anderen Systemen

    Der Ikea Luftreiniger Starkvind kann auch mit den Smart-Home-Lösungen von Apple, Google und Amazon verbunden werden.

chefin 05. Jul 2021 / Themenstart

Es sind immer dutzende bis hunderte Millionen Dollar an ungenutzen Codes in der Bilanz...

Vögelchen 03. Jul 2021 / Themenstart

Falsch. Wenn er aufgehört hatte, als er ausgesorgt hatte, wäre es nicht aufgefallen.

T2FZ3 03. Jul 2021 / Themenstart

Ebenfalls von mir!

Ninos 03. Jul 2021 / Themenstart

Wisst ihr zufälligerweise auch in welchem Land er grad sitzt bzw. wo er sein Luxusanwesen...

Hotohori 03. Jul 2021 / Themenstart

Man darf halt bloß nicht zu gierig werden und das auch nur für eine eher kurze Zeit...

Kommentieren



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /