Volodymyr Kvashuk, ex-engenheiro de software da Microsoft, 26 anos, originário da Ucrânia, mas que residia em Renton, Washington. Por que isso importa?
Ele foi acusado de 18 crimes federais e condenado a nove anos de prisão por seus esquemas para fraudar a Microsoft e roubar nada menos que US$ 10 milhões da empresa. Quer saber mais sobre isso? Então continue lendo o texto sobre o cara que conseguiu passar para trás uma das maiores empresas do mundo.
Quem é Volodymyr Kvashuk?
Kvashuk chegou pela primeira vez aos EUA vindo da Ucrânia em 2015 para assistir ao casamento de sua tia Alla, que estava se casando com um dentista do sul da Califórnia.
Kvashuk nasceu de Rivne Oblast, parte oeste da Ucrânia. Ele estudou ciência da computação e economia em uma universidade importante onde sua mãe e seu pai ensinavam. Seus amigos se lembram dele como um aluno inteligente, mas mediano. (Um boletim informativo mostra que ele recebeu um C em finanças e um D em gerenciamento de risco.)
Ele adorava beber cerveja enquanto jogava jogos de Campo Minado e World of Warcraft, lutava boxe para se divertir e andava de motocicleta. Sua foto no Facebook o mostrava em sua Yamaha, uma boneca Barbie amarrada no banco de trás, com os braços estendidos para o céu.
Kvashuk havia começado recentemente um trabalho de tempo integral na Microsoft, na sede da Microsoft em Redmon, Washington, para ser mais específico. E seu trabalho era testar a infraestrutura do e-commerce da empresa. O foco da sua equipe era simular na loja online da Microsoft, procurando falhas no sistema de pagamentos. Isso significava fazer muitas compras falsas na loja. Se Kvashuk adicionasse um PC Dell ao carrinho de compras, ele usaria um cartão de crédito falso fornecido pela Microsoft, completaria a transação e documentaria quaisquer erros. O sistema sabia que a compra era falsa e não entregaria o dispositivo em sua porta. Pelo menos era o que deveria acontecer.
Como ele roubou a Microsoft?
Aí que tá, em um dos seus testes, Kvashuk encontrou um bug que mudaria sua vida até então. Uma falha que ele não teve “coragem” de relatá-la aos seus gerentes. Eventualmente, ele descobriu que as compras feitas com os gift cards do Xbox que ele podia gerar eram legítimas, e resultavam em códigos reais para os games que ele estava simulando comprar.
Kvashuk então aproveitou a oportunidade, mas começou aos poucos. Gerando gifts-cards com valores entre 10 a 100 dólares. Mas foi evoluindo com o tempo. Nessa história toda, em uns dois anos, Kashuk havia roubado da Microsoft mais de 152.000 cartões do Xbox, equivalente a apenas 10,1 milhões de dólares na época. Com os valores que conseguiu roubar, o ex-engenheiro ucraniano comprou um carro Tesla no valor de 160 mil dólares, cerca de 146 mil euros. E ainda uma casa à beira de um lago que custou 1,7 milhões de dólares, perto de 1,6 milhões de euros. Mas tinha planos ainda de comprar um chalé de esqui, um iate e um hidroavião. Rapaz ousado, né.
Não está claro exatamente quando Kvashuk, começou a abusar desse glitch. Mas em algum momento de 2017, na época em que a Microsoft o recrutou para um cargo de engenheiro, ele percebeu que contas experimentais de sua equipe foram programadas apenas para impedir que o site enviasse compras falsas de produtos físicos. PCs, tablets, teclados… a Microsoft não pensou que seus testers pudessem pedir gift cards nos testes. Kvashuk poderia ter relatado a vulnerabilidade a seus chefes, mas ele não fez isso.
Kvashuk e seus colegas de trabalho geralmente alternavam entre alguns perfis simulados que registravam sob pseudônimos com a equipe da loja da Microsoft, geralmente com nomes de usuário e credenciais de segurança superficiais porque as contas eram falsas e inúteis fora de Redmond.
Ele trabalhou em seu apartamento em Seattle no outono daquele ano, mascarando seu tráfego de internet roteando-o por meio de servidores no Japão e na Rússia. Depois de fazer pedidos de teste, dezenas de códigos de gift cards apareceram imediatamente, no valor de US $2.000, depois US $4.200 e, eventualmente, muito mais. Um de seus primeiros resgates, provavelmente para confirmar que os cartões-presente roubados realmente tinham valor e que seu golpe realmente funcionaria, foi de US $164.
O golpe segue crescendo
O ano agora é 2018 e Kashuk estava mais ambicioso que nunca. Em janeiro daquele ano ele criou um programa chamado PurchaseFlow.CS, para acelerar as coisas. Com alguns cliques no aplicativo, ele podia selecionar qual gift card queria (em relação a valores) e ainda a saída da moeda (dólares americanos, euros, libras esterlinas) e quantos cartões desejasse comprar. Os promotores da investigação disseram posteriormente que o programa foi “criado para um propósito, e apenas um propósito: automatizar o desfalque e permitir fraudes e roubos em grande escala”.
Quando Kvashuk começou seu golpe, o banco virtual da Microsoft estava facilitando transações de centenas de milhões de dólares. Ninguém notaria se algo sumisse.
Em uma plataforma para trocar gifts cards por criptomoedas, geralmente Bitcoin, nosso engenheiro aqui estava operando sob o nome Grizzled Wolf na Paxful.com. A plataforma é popular entre compradores e vendedores em massa, que se comunicam por mensagens de bate-papo. A Paxful mantém a criptomoeda em custódia até que uma negociação seja acordada. A Pxaful também era uma mão na roda, porque não exigia identidades governamentais verificáveis, permitindo que os usuários permanecessem anônimos. Kashuk deliciava-se disso, venda após venda. E sempre querendo vender mais, em quantidades ainda maiores.
As pessoas que fazem transações com Bitcoin podem manter suas identidades anônimas, mas os números correspondentes a qualquer transação são rastreados em um livro digital público, conhecido como blockchain, criando um registro para as autoridades governamentais. Mas Kashuk era inteligente e tentou evitar isso canalizando alguns de seus ganhos através do ChipMixer.com, que os promotores dos EUA definiram mais tarde como uma ferramenta de lavagem de dinheiro na Internet que atua como um “misturador” para misturar Bitcoin com diferentes criptomoedas do mesmo valor, “para obscurecer e ocultar a fonte original” e “obliterar a trilha do blockchain”. (Um porta-voz do ChipMixer diz que o sistema é destinado à privacidade e que é “usado por muitos indivíduos e alguns podem ser pessoas ruins”.) Naquele março de 2018, ele depositou $1.4 milhões da Coinbase em sua conta corrente pessoal Wells Fargo & Co.. Em seguida, um adicional de US $ 935.000 em abril. Ele disse ao seu contador que os ganhos do Bitcoin eram simplesmente um presente de seu pai.
Contudo, em algum momento, por algum motivo estranho. Os códigos dos gifts cards vendidos por Kashuk não funcionavam mais quando os compradores tentavam resgatá-los online. Em certos momentos, isso assustou alguns de seus compradores, que depois de receber um monte de códigos inválidos, entraram em contato com a Microsoft reclamando. E isso, claro, enfureceu Grizzled Wolf: “Droga, cara, você não deveria enviar essa solicitação para a Microsoft. Mande-os para mim”, escreveu Kvashuk de volta, xingando. “Se eles começarem a me rastrear, eu vou simplesmente desistir.”
O começo da queda
Em fevereiro de 2018 a equipe de investigação de fraudes da Microsoft notou um aumento inexplicável nas compras online usando gift cards. Aumento que significava quase o dobro dos resgates normais. A teoria inicial era de que um “mau ator externo” estava agindo, mas um relatório interno logo confirmou que o hack vinha de dentro da própria empresa.
Em março, os investigadores rastrearam atividades irregulares em duas contas de teste internas atribuídas a funcionários da equipe de lojas da Microsoft. As contas, eles descobriram, já haviam reivindicado quase US$ 8 milhões em códigos que estavam sendo vendidos na Paxful e em outros sites. Em abril, as investigações se voltaram para os funcionários e um programa de testes chamado Fiddler, usado para enviar relatórios de bugs, era a chave para descobrir quem era o responsável por aquilo.
Qualquer pessoa com acesso ao Fiddler poderia ter hackeado as contas, sugerindo que algum outro funcionário ou contratado poderia ser o responsável. Foi aí que a equipe de investigações recorreu a Andrew Cookson, que havia lidado com investigações forenses sobre má conduta de funcionários na Microsoft por quase 15 anos. Cookson rapidamente se concentrou em um novo suspeito: Volodymyr Kvashuk.
Depois de vasculhar os dados CSV, a Microsoft descobriu que uma das contas de teste oficiais de Kvashuk havia comprado alguns gift cards do Xbox de forma ilegítima em 2017. Kashuk também foi conectado a outro lote de códigos roubados, que foram usados na loja da Microsoft para comprar três placas de vídeo de última geração, produzidas pela Nvidia. O comprador as havia enviado para “Grigor Shikor” no apartamento 309 da Norman Arms em Seattle. Porém, ninguém com esse nome morava no Norman Arms, e os apartamentos acabavam no 308.
Às 14h03 de 18 de maio, Kvashuk se viu sentado em frente a Cookson enquanto clicava em seu gravador de áudio em uma sala de conferências no campus da Microsoft em Redmond. Quando perguntado se ele usou as contas de teste para gerar códigos, Kvashuk admitiu vagamente ter resgatado cerca de 600 deles, mas apenas para comprar filmes para assistir com a namorada em casa. Ele e Diana (sua namorada) mantinham uma lista de códigos fixados ao lado do console Xbox e os riscavam enquanto baixavam filmes, disse ele. Quanto às placas de vídeo da Nvidia, ele reconheceu que usava placas para mineração de criptomoedas, mas enfatizou que não se lembrava de encomendá-las nem poderia explicar por que elas foram enviadas para um “Grigor Shikor” em seu endereço residencial anterior. “Estou perdido aqui”, disse Kvashuk a Cookson.
Fim da linha
Quatro semanas depois, a Microsoft demitiu Kvashuk. Para um engenheiro aparentemente sofisticado, ele cometeu muitos erros de novato. Embora tenha ocultado seu uso da internet por meio de servidores internacionais, por exemplo, ele distraidamente usou o mesmo computador baseado em Linux, com a mesma versão desatualizada do navegador Firefox, para cometer o roubo, metadados que permitiram à Microsoft conectá-lo ao crime. Os investigadores até descobriram que a licença do Microsoft Office que ele comprou no início do golpe estava registrada em uma conta administrativa do SearchDom, sua startup.
Ele e Diana continuaram vivendo luxuosamente em sua nova casa. Eles fizeram passeios de barco ao redor da Ilha Mercer e foram de férias para o Havaí. Uma foto do Instagram de dezembro de 2018 mostra Kvashuk segurando um coquetel no Cliff Dive Bar, perto de Maui, pouco depois de conseguir outro emprego na divisão digital do Sinclair Broadcast Group Inc., com sede perto do Seattle Space Needle.
Um colega de trabalho da Sinclair na época se lembra de Kvashuk como “afetuoso” e “colaborativo”, com um “comportamento muito frio”, que parecia qualquer outro cara da tecnologia. Ele nunca deixou transparecer que era rico; colegas apenas presumiram depois que ele apareceu para trabalhar em seu Tesla vermelho.
Em 16 de julho de 2019, um amigo deu um Slack para ele tomar um café, mas sua conta foi desativada. E as mensagens não foram respondidas. Nunca mais ouviram falar dele.
Naquele dia, agentes federais, que haviam conduzido sua própria investigação depois que a Microsoft encaminhou o caso para eles, invadiram seu apartamento à beira do lago. Kvashuk estava sentado no sofá, com as pernas cruzadas, enquanto os agentes vasculhavam o local, descobrindo um tesouro de evidências incriminatórias, como chaves de carteiras de criptomoedas, notebooks com informações de contas bancárias, drives USB repletos de gift cards roubados e muito dinheiro, incluindo mais de $ 4.000 na bolsa de Diana.
Os agentes federais também encontraram uma lista de Kashuk com futuros investimentos, escritos em ucraniano. A lista revelou que ele planejava comprar, entre outras extravagâncias, uma casa de US$ 4 milhões em Maui.
O título da lista: “Como vou administrar meus próximos 10 milhões”.
Em fevereiro de 2020, promotores federais do Distrito Oeste de Washington levaram Kvashuk a julgamento por lavagem de dinheiro, roubo de identidade e fraude eletrônica e postal, além de apresentar declarações fiscais falsas. Encontrar pen drives cheios de códigos na casa de Kvashuk foi “o equivalente em um caso de assalto a banco a encontrar sacos de dinheiro roubados no quarto do réu”, disse Dion, o promotor principal.
A Microsoft colocou na lista negra muitos dos gift cards roubados antes de serem resgatados, tornando-os inúteis para os revendedores, e o IRS (o serviço de receita do Governo Federal dos Estados Unidos) conseguiu rastrear fundos de criptomoedas usados para lavar dinheiro.
KVASHUK testemunhou no julgamento que não pretendia fraudar a Microsoft. Ele alegou estar trabalhando em um projeto especial para beneficiar a empresa. O júri deliberou cerca de cinco horas após um julgamento de cinco dias antes de retornar os veredictos de culpado. Sua lógica era, por que não distribuir dezenas de milhares de gift cards gratuitos do Xbox para testar se isso de alguma forma aumenta o engajamento e as vendas no futuro?
Bom, o juiz e o júri acharam sua defesa ridícula e o declararam culpado de todas as acusações . Além de 9 anos de prisão ( em que provavelmente será deportado depois de cumprir a pena), KVASHUK foi condenado a pagar $ 8.344.586 em restituição. No fim das contas, o crime acabou não compensando.