Metoda ingenioasă prin care un cercetător de la Apple a furat milioane de dolari din companie

Un cercetător de securitate a furat milioane de dolari de la Apple. După ce a raportat mai multe bug-uri în MacOs Sonoma, nu s-a gândit de două ori să pună mâna pe produse în mod ilicit.

Noah Roskin-Frazee, un cercetător în domeniul securității, a fost arestat în luna ianuarie pentru fraudarea Apple. Potrivit unui raport recent al 404 Media, cu ajutorul unui complice, Frazee a reușit să pună mâna pe produse și servicii în valoare de peste 3 milioane de dolari - inclusiv carduri cadou în valoare de aproximativ 2,5 milioane de dolari - prin exploatarea unei vulnerabilități din sistemul intern.

Și, deși documentele judiciare în această chestiune nu menționează în mod explicit Apple, nu există nicio îndoială că a fost vorba de compania din Cupertino. După cum se arată în documente, în 2019, Frazee și complicele său au folosit un instrument de resetare a parolei pentru a obține acces la contul unui angajat al unei presupuse "companii B" care ar fi gestionat serviciul de asistență pentru clienți al Apple.

De aici, cercetătorul a reușit să obțină mai întâi acces la serverele VPN ale companiei, iar apoi la sistemele Apple, astfel încât să poată plasa comenzi frauduloase. Și asta datorită capacității sale de a exploata vulnerabilitatea Toolbox, un sistem folosit de companie pentru a pune comenzile în așteptare înainte de a fi procesate, dar unde acestea pot fi în continuare modificate. Prin urmare, după ce a plasat comenzi sub un nume fals, cercetătorul a putut interveni în Toolbox pentru a reseta prețul de vânzare la zero sau pentru a adăuga gratuit produse la comenzile existente.

În acest fel, Frazee a reușit să intre în posesia unor produse, servicii și carduri cadou Apple fără a fi nevoit să cheltuiască vreun dolar. Surprinzător este că, într-un document publicat la mai puțin de două săptămâni după arestarea sa, Apple i-a mulțumit lui Frazee pentru că i-a adus în atenție mai multe erori din macOS Sonoma. Cercetătorul acuzat de fraudă ar putea plăti cu 20 de ani de închisoare.