Un cercetător de securitate a furat milioane de dolari de la Apple

Noah Roskin-Frazee, un cercetător în domeniul securităţii, a fost arestat în luna ianuarie pentru fraudarea Apple. Potrivit unui raport recent al 404 Media, cu ajutorul unui complice, Frazee a reuşit să pună mâna pe produse şi servicii în valoare de peste 3 milioane de dolari - inclusiv carduri cadou în valoare de aproximativ 2,5 milioane de dolari - prin exploatarea unei vulnerabilităţi din sistemul intern.

Şi, deşi documentele judiciare în această chestiune nu menţionează în mod explicit Apple, nu există nicio îndoială că a fost vorba de compania din Cupertino.

După cum se arată în documente, în 2019, Frazee şi complicele său au folosit un instrument de resetare a parolei pentru a obţine acces la contul unui angajat al unei presupuse "companii B" care ar fi gestionat serviciul de asistenţă pentru clienţi al Apple, conform wired.it.

De aici, cercetătorul a reuşit să obţină mai întâi acces la serverele VPN ale companiei, iar apoi la sistemele Apple, astfel încât să poată plasa comenzi frauduloase. Şi asta datorită capacităţii sale de a exploata vulnerabilitatea Toolbox, un sistem folosit de companie pentru a pune comenzile în aşteptare înainte de a fi procesate, dar unde acestea pot fi în continuare modificate.

Prin urmare, după ce a plasat comenzi sub un nume fals, cercetătorul a putut interveni în Toolbox pentru a reseta preţul de vânzare la zero sau pentru a adăuga gratuit produse la comenzile existente.

În acest fel, Frazee a reuşit să intre în posesia unor produse, servicii şi carduri cadou Apple fără a fi nevoit să cheltuiască vreun dolar.

Surprinzător este că, într-un document publicat la mai puţin de două săptămâni după arestarea sa, Apple i-a mulţumit lui Frazee pentru că i-a adus în atenţie mai multe erori din macOS Sonoma.

Cercetătorul acuzat de fraudăar putea plăti cu 20 de ani de închisoare.