A bezpieczeństwo badacz z doświadczeniem w pomaganiu Jabłko zidentyfikować luki w swoim oprogramowaniu, najwyraźniej uznając jedną konkretną lukę w zabezpieczeniach za zbyt kuszącą.
Zamiast zgłosić to firmie z Cupertino, rzekomo wykorzystał to do wyłudzenia od firmy kart podarunkowych i produktów o wartości około 2,5 miliona dolarów…
Noah Roskin-Frazee, który pracuje w ZeroClicks Lab, jest autorem wielu raportów CVE i otrzymał specjalne podziękowania od Apple o pomoc dotyczącą luk w zabezpieczeniach Wi-Fi.
Chcielibyśmy podziękować Noahowi Roskin-Frazee i prof. J. (Laboratorium ZeroClicks.ai) za ich pomoc.
Niezwykłe jest to, iż podziękowania nadeszły dwa tygodnie po aresztowaniu go za rzekome oszukanie Apple na kwotę 2,5 miliona dolarów.
Według doniesień Roskin-Frazee znalazła lukę w systemie zaplecza Apple znanym jako Toolbox. Jest to opisywane jako system, w ramach którego firma wstrzymuje zamówienia, w tym czasie można je edytować.
404Media donosi, iż aby uzyskać do tego dostęp, użył ataku eskalacyjnego, przy widocznej pomocy innego badacza Keitha Latteriego.
Po pierwsze, twierdzi, iż wykorzystali narzędzie do resetowania hasła, aby uzyskać dostęp do konta pracownika należącego do firmy opisanej jedynie jako Firma B, która jednak wydaje się być zewnętrzną firmą świadczącą usługi obsługi klienta dla Apple.
Konto to służyło do uzyskiwania dostępu do kolejnych kont w tej samej spółce, z których jedno zapewniało dostęp do jej serwerów VPN. Według doniesień, w tym momencie udało im się uzyskać dostęp do systemu Toolbox firmy Apple.
Z raportu wynika, iż składali zamówienia pod fałszywymi nazwiskami, a następnie dzięki narzędzia Toolbox zmienili należne kwoty na 0 USD, a także dodali do zamówień dodatkowe urządzenia, „takie jak telefony i laptopy”, bez powodowania jakichkolwiek dodatkowych opłat.
Inne zamówienia, których wartość zmieniono na zero, dotyczyły kart podarunkowych, które można było następnie wykorzystać do zakupów w sklepach Apple lub odsprzedać za wysoki procent ich wartości nominalnej.
Najbardziej niewytłumaczalnym aspektem raportu jest to, iż chociaż w przypadku produktów użyto fałszywych nazwisk i adresów wysyłkowych, jeden z dwóch oskarżonych najwyraźniej użył systemu do przedłużenia umowy AppleCare dla niego i jego rodziny.
404Media twierdzi, iż prawnicy dwóch oskarżonych nie odpowiedzieli na prośbę o komentarz.
zdjęcie zrobione przez Carlesa Rabady NA Usuń rozpryski
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
