یکی از محققان امنیتی که سابقه کمک به اپل در شناسایی ضعفهای نرمافزاری را دارد، ظاهراً حفره امنیتی بیشازحد وسوسهانگیزی یافته و محصولاتی بهارزش حدودی 2.5 میلیون دلار را سرقت کرده است.
بهگزارش تکناک، یکی از محققان امنیتی ۲/۵ میلیون دلار از سیستمهای اپل کلاهبرداری کرده است. بهجای گزارش این آسیبپذیری به اپل، او متهم است که از آن برای کلاهبرداری از این شرکت سوءاستفاده کرده است.
بهنقل از 9to5mac، نوح روسکینفریزی، کارمند ZeroClicks Lab، بهدلیل گزارشهای متعدد آسیبپذیریهای امنیتی (CVE) و بهطور خاص کمک به رفع آسیبپذیریهای وایفای تحسین اپل را برانگیخته است. نکته عجیب این است که قدردانی از روسکینفریزی دو هفته پس از دستگیری او بهاتهام کلاهبرداری 2/5 میلیون دلاری از اپل صورت گرفته است.
گویا روسکینفریزی آسیبپذیریای را در سیستم پشتیبان اپل به نام تولباکس (Toolbox) پیدا کرده است. این سیستم فضایی برای نگهداشتن موقت سفارشهای اپل توصیف میشود که در آن دوره ویرایش آنها امکانپذیر است.
براساس گزارش 404Media، او برای دستیابی به این سیستم از حملهای موسوم به تشدید (Escalation) با کمک محقق دیگری به نام کیت لاتری استفاده کرده است.
براساس گزارش یادشده، روسکینفریزی و لاتری از ابزار بازنشانی گذرواژه برای دسترسی به حساب کاربری یکی از کارمندان متعلق به شرکتی که تنها با نام Company B مشخص شده، استفاده کردند. باوجوداین، شرکت یادشده بهنظر میرسد شرکتی شخص ثالث باشد که خدمات پشتیبانی مشتری را به اپل ارائه میدهد.
روسکینفریزی و لاتری با استفاده از آن حساب کاربری، به حسابهای کاربری دیگر در همان شرکت دسترسی پیدا کردند. یکی از این حسابها دسترسی به سرورهای VPN آن شرکت را برایشان فراهم میکرد. گزارش شده است که آنها ازطریق این نقطه و سرورهای VPN موفق شدند به سیستم Toolbox اپل دسترسی پیدا کنند.
طبق گزارش 404Media، آنها با استفاده از نامهای جعلی سفارشهایی ثبت و سپس از Toolbox برای تغییر مبالغ پرداختی به صفر دلار استفاده کردند. همچنین، محصولاتی مانند تلفن و لپتاپ را بدون پرداخت هزینه اضافی به سفارشهای خود اضافه کردند.
سفارشهای دیگری که ارزش آنها به صفر تغییر داده شد، شامل کارتهای هدیه بود که بعداً میشد برای خرید از فروشگاههای اپل استفاده کرد یا با درصد زیادی بهازای ارزش اصلی آنها با افراد دیگر معامله شود.
عجیبترین جنبه گزارش این است درحالیکه از نامهای جعلی و آدرسهای تحویل تقلبی برای محصولات استفاده شد، بهنظر میرسد یکی از دو متهم از سیستم برای تمدید قرارداد AppleCare برای خود و خانوادهاش استفاده کرده است. این اقدام را نمیتوان توضیح داد؛ زیرا انگیزه پشت آن مشخص نیست.
