Il ricercatore di sicurezza Noah Roskin-Frazee, che lavora per ZeroClicks Lab, accreditato da Apple, che tiene molto alla questione bug, per numerosi rapporti CVE e che è stato più volte elogiato per l’importante contributo fornito nel riuscire ad individuare diverse vulnerabilità Wi-Fi, ha deciso, in quest’occasione, di sfruttare una falla scovata per truffare il colosso di Cupertino con buoni regalo e prodotti per un valore di circa 2,5 milioni di dollari.
Apple: truffata da un ricercatore di sicurezza
Secondo quanto riferito, il ricercatore, ora arrestato, ha trovato una vulnerabilità in un sistema backend Apple noto come Toolbox. Viene descritto come un sistema all’interno del quale l’azienda mette in attesa gli ordini e in quel frangente possono eventualmente essere modificati.
Noah Roskin-Frazee avrebbe fatto uso di uno strumento di reimpostazione della password per ottenere l’accesso a un account dipendente appartenente a una società descritta come Società B che gestisce servizi di assistenza clienti per Apple.
Quell’account veniva adoperato per accedere ad altri account all’interno della medesima azienda, uno dei quali dava accesso ai server VPN, punto da cui il ricercatore era in grado di accedere al sistema Toolbox di Apple.
Il ricercatore avrebbe quindi effettuato ordini sotto falsi nomi, sfruttando Toolbox per modificare le somme da pagare a 0 dollari e aggiungendo ulteriori dispositivi agli ordini senza che venissero addebitati costi aggiuntivi. Altri ordini riguardavano carte regalo, che potevano poi essere utilizzate per effettuare acquisti nei negozi Apple o rivendute.
Il collaboratore di Noah Roskin-Frazee avrebbe alla fine utilizzato il sistema per prolungare un contratto AppleCare per lui e la sua famiglia e così facendo è stato colto in flagrante insieme al suo complice.
Ti potrebbe interessare
8 feb 2024