Un ricercatore di sicurezza avrebbe sfruttato uno strumento interno di Apple per rubare milioni
Un ricercatore di sicurezza che aveva segnalato bug ad Apple è stato arrestato a gennaio per aver frodato l’azienda per milioni di dollari, secondo un rapporto di 404 Media .
Il ricercatore, Noah Roskin-Frazee, è stato accusato insieme a un co-cospiratore di aver ottenuto oltre 3 milioni di dollari in prodotti e servizi attraverso più di due dozzine di ordini fraudolenti. Ciò includeva circa 2,5 milioni di dollari in buoni regalo e oltre 100.000 dollari in “prodotti e servizi”.
Sebbene Apple non sia menzionata esplicitamente nei documenti del tribunale , una “Società A” senza nome si trova a Cupertino, in California, ed è chiaramente Apple. La corte afferma che uno degli autori del reato ha utilizzato carte regalo per “acquistare Final Cut Pro sull’App Store dell’azienda A ” e Apple è l’unica azienda che vende il software.
Nel 2019, Frazee e il suo complice hanno utilizzato uno strumento di reimpostazione della password per ottenere l’accesso a un account dipendente che apparteneva a una “Società B” anonima, che fornisce assistenza clienti per Apple. Quell’account ha portato all’accesso ad ulteriori credenziali dei dipendenti e Frazee ha avuto accesso ai server VPN dell’azienda B. Da lì, Frazee è riuscito a entrare nei sistemi Apple, effettuando ordini fraudolenti per prodotti Apple.
Ha utilizzato il programma “Toolbox” di Apple che poteva essere utilizzato per modificare gli ordini dopo che erano stati effettuati e ha modificato i valori degli ordini a zero, ha aggiunto prodotti agli ordini ed ha esteso i contratti AppleCare . Ha abusato del programma Apple da gennaio a marzo 2019.
Gli imputati si sono collegati in remoto a computer situati in India e Costa Rica come parte del piano, aggiunge l’accusa. La truffa stessa prevedeva la modifica del valore monetario degli ordini a zero, l’aggiunta gratuita di prodotti agli ordini esistenti come telefoni e laptop e l’estensione dei contratti di servizio esistenti, aggiunge l’accusa. Ciò includeva l’estensione di un contratto di servizio clienti associato a uno degli imputati e alla sua famiglia per altri due anni senza pagare.
Apple ha ringraziato Frazee in un documento di supporto di gennaio per aver riscontrato diversi bug in macOS Sonoma e il documento è stato pubblicato meno di due settimane dopo il suo arresto. “Vorremmo ringraziare Noah Roskin-Frazee e il Prof. J. (ZeroClicks.ai Lab) per la loro assistenza”, si legge nella pagina di Apple in riferimento a una vulnerabilità Wi-Fi.
Frazee è stato accusato di frode telematica, frode postale, associazione a delinquere per commettere frode telematica e frode postale, associazione a delinquere per commettere frode informatica e abuso e danno intenzionale a un computer protetto. Gli verrà richiesto di restituire tutti i beni rubati e, se ritenuto colpevole, potrebbe essere condannato a più di 20 anni di carcere.