程序員利用測試賬戶套現千萬美元，或面臨20年監禁

據外媒報道，美國檢察官表示一名前微軟程序員利用微軟內部對測試賬戶監管不嚴的漏洞，瘋狂套現1000萬美元，併購置了一輛特斯拉與價值160萬美元的房產，而其可能因此面臨高達20年的監禁與25萬美元罰款。

事件回溯

據The Register的最新報道，一位前微軟開發工程師Volodymyr Kvashuk於本週二被逮捕，因其涉嫌從前僱主處竊取總值達1000萬美元的數字貨幣（代金券）。

據瞭解，今年25歲的Volodymyr Kvashuk爲居住在華盛頓州倫頓市的烏克蘭公民，其於2016年8月被聘爲微軟正式員工，並於2018年6月被微軟公司解僱。根據檢方公佈的訴狀，Kvashuk已被西雅圖聯邦地方法院起訴。

Volodymyr Kvashuk曾任職於微軟Universal Store團隊（UST），負責處理該公司的電子商務業務。微軟公司Azure DevOps產品負責人Sam Guckenheimer曾在2017年做出正式說明稱：“UST是微軟公司的主要商業引擎，使命是爲微軟的全部商業產品提供One Universal Store支持。UST涵蓋微軟公司銷售的所有產品，以及其他一切通過企業，消費者與商業，數字與物理，訂閱與交易進行的，經由所有渠道及店面銷售的產品。”

根據訴狀，UST成員負責在微軟在線商店中設置虛擬賬戶，通過專門創建的電子郵件地址立足生產環境測試與信用卡的關聯功能，從而在不產生實際費用的前提下進行產品購買。而後，Volodymyr Kvashuk將其測試賬戶列入白名單，以繞過微軟的安全與風險監測系統。

隨後，Kvashuk利用這一漏洞購買了大量微軟商品，並以低於面值的折扣價從第三方手中換得大量貨幣——總價值高達1000萬美元。這一欺詐活動據稱於2017年開始，而後逐步升級。慾壑難填的Kvashuk基礎年薪爲11萬6千美元，但卻在華盛頓州倫頓市購置了價值16萬2千美元的特斯拉汽車與160萬美元的房產。

目前，當局已經要求對Kvashuk實施拘留，並稱他可能試圖逃離美國或者妨礙司法公正。如果確被判處犯有欺詐罪，這位前微軟開發工程師可能面臨高達20年的監禁與25萬美元罰款。

微軟對測試賬戶監管不力

在設計測試系統時，微軟方面忽略了一個重要的攻擊向量。訴狀解釋稱，“測試計劃本應阻止實物交付，但微軟公司沒有預想到測試人員會利用數字貨幣（「Currency Stored Value」，簡稱CSV）進行購買測試，因此沒有采取任何阻止CSV交付的措施。”

如此一來，測試人員即可通過測試購買微軟數字禮品卡，獲取可兌換的有效產品密鑰，並向與購買者賬戶相關聯的數字錢包充值。在此之後，電子資金即可用於從微軟商店購買數字或者實體產品。

訴狀稱，Kvashuk的操作已經被微軟UST欺詐調查打擊小組（FIST）撤銷。該小組於2018年2月注意到，微軟Xbox遊戲系統中的CSV購買訂單出現了可疑增量，調查人員追蹤這筆數字資金，發現產品已經通過兩個不同的網站進行轉售，而其根源則是兩個被列入白名單的測試賬戶。

以此爲起點，FIST持續跟蹤其中涉及的賬戶與交易。在美國相關部門的協助下，調查人員得出結論，認爲Kvashuk對微軟存在欺詐行爲，包括嘗試利用虛擬賬戶隱瞞自己的身份，並使用比特幣混合服務隱藏公鏈交易。

除了指向Kvashuk的服務供應商記錄之外，訴狀還提到微軟公司的在線商店使用了一種被稱爲模糊設備ID的指紋識別方式。據稱，調查人員成功將特定設備ID與Kvashuk的相關賬戶聯繫了起來。

程序員的職業道德

無論從事什麼行業，職業道德都是最基本的底線。2018年10月份，InfoQ也曾報道過類似事件：華夏銀行三室處長覃某將其編寫的“計算機病毒程序”植入華夏銀行總行核心系統應用服務器，並通過該計算機病毒程序使其跨行 ATM 機取款的交易不能計入賬戶，自 2016 年 11 月至 2018 年 1 月間，覃某通過其掌控的華夏銀行卡多次在 ATM 機上跨行取款，將銀行資金 717.9 萬元轉入其使用控制的銀行賬戶，非法佔爲己有。

對於 IT 從業者的程序員來說，職業道德應該是怎樣的呢？IEEE（電氣和電子工程師協會）曾制定過 IT 從業者的倫理準則（Code of Ethics），簡單翻譯以供參考：

IEEE的成員認識到我們的技術在影響全世界生活質量方面的重要性，並承認對我們的專業、成員和所服務的社區具備義務，特此承諾保證最高的道德和職業行爲，並同意：

1. 以保持公衆的安全，健康和福利爲準則，努力遵守道德設計和可持續發展實踐，及時披露可能危害公衆或環境的因素;
2. 儘可能避免實際或可感知的利益衝突，並在存在時向受影響的各方披露;
3. 在根據現有數據陳述索賠或估計時要誠實;
4. 拒絕一切形式的賄賂;
5. 提高個人和社會對傳統和新興技術（包括智能系統）的理解能力以及可能造成的社會影響的理解;
6. 保持和提高我們的技術能力，只有經過培訓或具備資格，或在充分披露相關限制後，才能爲他人承擔技術任務;
7. 尋求，接受並提供對技術工作的誠實批評，承認和糾正錯誤，並妥善信任他人的貢獻;
8. 公平對待所有人，不參與種族，宗教，性別，殘疾，年齡，國籍，性取向，性別認同或性別表達等歧視行爲;
9. 避免虛假或惡意行爲傷害他人，財產，聲譽或工作;
10. 協助同事的職業發展，並支持他們遵守職業道德準則。