52-годишната Хайди Ричардс от Флорида беше осъдена на 22 месеца лишаване от свобода за участие в продължила с години схема за трафик на хиляди откраднати сертификати за автентичност (Certificate of Authenticity – COA) на Microsoft. Освен ефективната присъда, съдът постанови и глоба в размер на 50 000 долара.

Според съдебните документи Ричардс, действала и под имената Хайди Хейстингс, Хайди Шафър и Хайди Уилямс, е управлявала онлайн бизнес под името Trinity Software Distribution, чрез който е реализирана незаконната дейност.

Какво представляват COA стикерите и защо нямат самостоятелна търговска стойност

COA етикетите са малки стикери, които удостоверяват легитимността на софтуерен продукт и съдържат уникален продуктов ключ. Тези кодове се използват за активиране на продукти, разпространявани на физически носители, като операционната система Windows и офис пакета Microsoft Office.

Съгласно федералните правила, COA етикетите:

• Нямат самостоятелна търговска стойност

• Не могат да се продават отделно от софтуера и хардуера, към които принадлежат

• При Windows OEM версиите трябва да бъдат физически поставени върху компютъра или включени в запечатан OEM пакет

Независимо от това, кодовете върху тези етикети могат да активират софтуер без наличието на законно придобит лиценз, което създава нелегален вторичен пазар за самостоятелни ключове.

Механизмът на схемата – милиони долари и ръчно извличане на кодове

Между юли 2018 г. и януари 2023 г. Ричардс и съучастниците ѝ са закупили десетки хиляди автентични COA етикети за Windows 10 и Microsoft Office от компания в Тексас. За периода те са превели на доставчика общо 5 148 181,50 долара – при цени значително под пазарните.

Вместо да продават етикетите заедно със съответния софтуер, както изисква законът, обвиняемата е нареждала на служители:

• Да отстраняват физически етикетите

• Да извличат ръчно продуктовите ключове

• Да ги транскрибират в Excel таблици

• Да ги продават на едро на клиенти по целия свят

Тази практика е позволявала масово разпространение на лицензионни кодове извън контролираната дистрибуционна верига на производителя.

Правни последици и ролята на федералните органи

Делото е водено от федералния прокурор Риша Асокан и съдебния юрист Джаред Хосид от секцията за компютърни престъпления и интелектуална собственост (CCIPS) към Министерството на правосъдието на САЩ.

За последните пет години CCIPS е осигурила над 180 присъди по дела за киберпрестъпления и е съдействала за възстановяване на над 350 милиона долара в полза на пострадали страни.

Значението на случая – риск за веригата на софтуерно лицензиране

Макар схемата да не включва класическо хакване или пробив в системи, случаят демонстрира сериозен риск за:

• Интегритета на лицензионните модели

• OEM дистрибуционните канали

• Пазарната стойност на легитимния софтуер

Нелегалната търговия с продуктови ключове подкопава бизнес моделите на производителите и създава правна несигурност за крайните клиенти, които могат да се окажат с невалидирани или блокирани лицензи.

Този случай е показателен, че киберпрестъпленията не се ограничават до сложни технически атаки – манипулирането на легитимни механизми за лицензиране също може да доведе до мащабни финансови щети и наказателна отговорност.