Білий хакер обдурив Apple на $3 млн. Компанія йому подякувала
Дослідник безпеки, який повідомив про помилки в Apple, був заарештований у січні 2024 року за вимагання мільйонів доларів, йдеться у матеріалі 404 Media.
Дослідника Ноа Роскіна-Фрейзі звинуватили разом зі співучасником в отриманні продуктів і послуг на суму понад $3 млн через понад два десятки шахрайських замовлень. Це охоплює близько $2,5 млн у вигляді подарункових карток і понад $100 000 доларів у вигляді продуктів і послуг.
Хоча Apple прямо не згадується в судових протоколах, там фігурує анонімна "Компанія А" розташована в Купертіно, штат Каліфорнія. Суд зазначає, що один зі злочинців використовував подарункові картки, щоб "придбати Final Cut Pro в App Store компанії A". Apple володіє магазином застосунків App Store, який продає програми. В акаунті X Роскіна-Фрейзі, який не оновлювався з травня 2017 року, зазначено, що він є сертифікованим технічним працівником Apple.
У 2019 році Роскін-Фрейзі та його спільник використали інструмент скидання пароля, щоб отримати доступ до акаунту працівника, який належав не названій "Компанії B", котра займається підтримкою клієнтів Apple. Цей акаунт дав доступ до облікових даних додаткових працівників, і Фрейзі отримав доступ до VPN-серверів "Компанії B". Звідти він зміг проникнути в системи Apple, розміщуючи шахрайські замовлення на продукти Apple.
Білий хакер використовував програму Apple Toolbox, за допомогою якої можна було редагувати замовлення після їх розміщення. Він зловживав програмою Apple із січня до березня 2019 року включно.
Хакери віддалено під'єдналися до комп’ютерів, розташованих в Індії та Коста-Риці. Шахраї змінювали вартість замовлення на нуль, додавали до замовлень нові продукти безплатно (це були телефони й ноутбуки), і продовжували наявні контракти на обслуговування.
У січні, вже після арешту, Apple подякувала Роскіну-Фрейзі за виявлення кількох помилок у macOS Sonoma.
У разі визнання провини всі отримані шахрайським методом речі конфіскують, а хакера засудять до понад 20 років позбавлення волі.