Miliony dolarów z naklejek Microsoftu. Tak działa rynek tanich Windowsów

Na Florydzie zapadł wyrok w sprawie wieloletniego procederu handlu skradzionymi certyfikatami oprogramowania. Sprawa rzuca światło na globalną,  szarą strefę i rynek kluczy licencyjnych oraz na mechanizmy wykorzystywane do omijania zasad dystrybucji oprogramowania.

52-letnia Heidi Richards, występująca również pod nazwiskami Heidi Hastings, Heidi Shaffer i Heidi Williams, usłyszała wyrok 22 miesięcy więzienia oraz 50 tysięcy dolarów grzywny. Kobieta prowadziła firmę e-commerce Trinity Software Distribution i przez lata uczestniczyła w obrocie tysiącami etykiet Certyfikatów Autentyczności powiązanych z produktami Microsoft.

Certyfikat, który nie powinien żyć własnym życiem

Etykiety COA, czyli Certyfikaty Autentyczności, to niewielkie naklejki zawierające unikatowe klucze produktu. Trafiają one do użytkowników wraz z fizycznymi nośnikami oprogramowania lub z gotowymi komputerami. Klucze służą do aktywacji takich produktów jak Windows 10 oraz Microsoft Office.

Zgodnie z zasadami producenta oraz przepisami federalnymi w Stanach Zjednoczonych etykiety COA nie mogą być sprzedawane oddzielnie. Ich dystrybucja jest dozwolona wyłącznie w komplecie z oprogramowaniem lub sprzętem, dla którego zostały przeznaczone. Samodzielna sprzedaż kodów aktywacyjnych tworzy alternatywny rynek, na którym użytkownicy nabywają klucze bez legalnej licencji.

Prokuratorzy podkreślali w akcie oskarżenia, że jedyną autoryzowaną formą dalszej dystrybucji certyfikatów OEM systemu Windows jest umieszczenie ich na komputerze z zainstalowanym oprogramowaniem lub sprzedaż w zapieczętowanym opakowaniu OEM zawierającym etykietę oraz licencję.

Miliony dolarów w arkuszach Excel

Według ustaleń śledczych Richards i jej wspólnicy kupili dziesiątki tysięcy oryginalnych etykiet COA od firmy z siedzibą w Teksasie w latach 2018–2023. Zapłacili za nie miliony dolarów, korzystając z cen znacznie niższych od detalicznych.

Zamiast sprzedawać etykiety w sposób zgodny z przeznaczeniem, Richards miała polecić pracownikom ręczne wyodrębnianie kluczy produktu z naklejek. Kody były następnie przepisywane do arkuszy kalkulacyjnych i sprzedawane hurtowo klientom na całym świecie. W analizowanym okresie do dostawcy trafiło ponad 5,1 mln dolarów.

Model działania był prosty i opierał się na masowej dystrybucji samych kluczy aktywacyjnych bez fizycznych nośników i bez powiązania z konkretnym sprzętem. Taki schemat pozwalał oferować produkty w cenach znacznie niższych niż oficjalne kanały sprzedaży.

Uderzenie w rynek licencji

Sprawę prowadzili przedstawiciele amerykańskiego Departamentu Sprawiedliwości, w tym zastępca prokuratora USA Risha Asokan oraz adwokat Jared Hosid z Wydziału ds. Przestępstw Komputerowych i Własności Intelektualnej. Jednostka ta w ciągu ostatnich pięciu lat doprowadziła do ponad 180 wyroków skazujących za cyberprzestępstwa i pomogła ofiarom odzyskać setki milionów dolarów.

Wyrok dla Richards to kolejny sygnał, że organy ścigania traktują nielegalny handel kluczami aktywacyjnymi jako poważne naruszenie prawa własności intelektualnej. W dobie cyfrowej dystrybucji oprogramowania granica między legalnym rynkiem wtórnym a przestępstwem pozostaje przedmiotem sporów, jednak w przypadku sprzedaży wyodrębnionych kluczy bez licencji stanowisko władz jest jednoznaczne.