امنیت سایبری، پیشنهاد سردبیر، فناوری

کلاهبرداری 2/5‌ میلیون دلاری محقق امنیتی از سیستم‌های اپل

ارسال شده در تاریخ توسط امیرحسین یونس

یکی از محققان امنیتی که سابقه کمک به اپل در شناسایی ضعف‌های نرم‌افزاری را دارد، ظاهراً حفره امنیتی بیش‌ازحد وسوسه‌انگیزی یافته و محصولاتی به‌ارزش حدودی 2.5 میلیون دلار را سرقت کرده است.

به‌گزارش تک‌ناک، یکی از محققان امنیتی ۲/۵ میلیون دلار از سیستم‌های اپل کلاه‌برداری کرده است. به‌جای گزارش این آسیب‌پذیری به اپل، او متهم است که از آن برای کلاه‌برداری از این شرکت سوءاستفاده کرده است.

به‌نقل از 9to5mac، نوح روسکین‌فریزی، کارمند ZeroClicks Lab‌، به‌دلیل گزارش‌های متعدد آسیب‌پذیری‌های امنیتی (CVE) و به‌طور خاص کمک به رفع آسیب‌پذیری‌های وای‌فای تحسین اپل را برانگیخته است. نکته عجیب این است که قدردانی از روسکین‌فریزی دو هفته پس از دستگیری او به‌اتهام کلاه‌برداری 2/5 میلیون دلاری از اپل صورت گرفته است.

گویا روسکین‌فریزی آسیب‌پذیری‌ای را در سیستم پشتیبان اپل به نام تول‌باکس (Toolbox) پیدا کرده است. این سیستم فضایی برای نگه‌داشتن موقت سفارش‌های اپل توصیف می‌شود که در آن دوره ویرایش آن‌ها امکان‌پذیر است.

بر‌اساس گزارش 404Media، او برای دستیابی به این سیستم از حمله‌ای موسوم به تشدید (Escalation) با کمک محقق دیگری به نام کیت لاتری استفاده کرده است.

براساس گزارش یادشده، روسکین‌فریزی و لاتری از ابزار بازنشانی گذرواژه برای دسترسی به حساب کاربری یکی از کارمندان متعلق به شرکتی که تنها با نام Company B مشخص شده، استفاده کردند. باوجوداین، شرکت یادشده به‌نظر می‌رسد شرکتی شخص ثالث باشد که خدمات پشتیبانی مشتری را به اپل ارائه می‌دهد.

روسکین‌فریزی و لاتری با استفاده از آن حساب کاربری، به حساب‌های کاربری دیگر در همان شرکت دسترسی پیدا کردند. یکی از این حساب‌ها دسترسی به سرورهای VPN آن شرکت را برایشان فراهم می‌کرد. گزارش شده است که آن‌ها ازطریق این نقطه و سرورهای VPN موفق شدند به سیستم Toolbox اپل دسترسی پیدا کنند.

طبق گزارش 404Media، آن‌ها با استفاده از نام‌های جعلی سفارش‌هایی ثبت و سپس از Toolbox برای تغییر مبالغ پرداختی به صفر دلار استفاده کردند. همچنین، محصولاتی مانند تلفن و لپ‌تاپ را بدون پرداخت هزینه‌ اضافی به سفارش‌های خود اضافه کردند.

سفارش‌های دیگری که ارزش آن‌ها به صفر تغییر داده شد، شامل کارت‌های هدیه بود که بعداً می‌شد برای خرید از فروشگاه‌های اپل استفاده کرد یا با درصد زیادی به‌ازای ارزش اصلی آن‌ها با افراد دیگر معامله شود.

عجیب‌ترین جنبه گزارش این است در‌حالی‌که از نام‌های جعلی و آدرس‌های تحویل تقلبی برای محصولات استفاده شد، به‌نظر می‌رسد یکی از دو متهم از سیستم برای تمدید قرارداد AppleCare برای خود و خانواده‌اش استفاده کرده است. این اقدام را نمی‌توان توضیح داد؛ زیرا انگیزه پشت آن مشخص نیست.

مطالب مرتبط:
امیرحسین یونس

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اخبار جدید تک‌ناک را از دست ندهید.