Un ricercatore di sicurezza ha trovato una particolare falla di sicurezza, decidendo poi di non avvisare Apple. Anzi.
Noah Roskin-Frazee, che lavora per ZeroClicks Lab, è accreditato da Apple per numerosi rapporti CVE ed è stato più volte ringraziato dall’azienda per l’aiuto nel trovare diverse vulnerabilità Wi-Fi. Questa volta, invece di denunciare la scoperta ad Apple, il ricercatore ha deciso di sfruttare la falla per truffare l’azienda con buoni regalo e prodotti per un valore di circa 2,5 milioni di dollari.
Un aspetto curioso, è che gli ultimi ringraziamenti di Apple Noah Roskin-Frazee per la scoperta di una falla di sicurezza sono arrivati due settimane dopo che l’uomo è stato arrestato per aver frodato Apple per 2,5 milioni di dollari.
Secondo quanto riferito, Roskin-Frazee ha trovato una vulnerabilità in un sistema backend Apple noto come Toolbox. Questo è descritto come un sistema all’interno del quale l’azienda mette in attesa gli ordini, e in quel frangente gli ordini possono essere modificati.
Il ricercatore ha utilizzato uno strumento di reimpostazione della password per ottenere l’accesso a un account dipendente appartenente a una società descritta solo come Società B, ma che sembra essere una società terza che gestisce servizi di assistenza clienti per Apple.
Quell’account veniva utilizzato per accedere ad altri account all’interno della stessa azienda, uno dei quali dava accesso ai suoi server VPN. Questo era il punto in cui, secondo quanto riferito, l’uomo era in grado di accedere al sistema Toolbox di Apple.
Il rapporto afferma che il ricercatore ha effettuato ordini sotto falsi nomi, quindi ha utilizzato Toolbox per modificare le somme da pagare a 0$, oltre ad aggiungere ulteriori dispositivi agli ordini, “come telefoni e laptop”, senza che venissero addebitati costi aggiuntivi.
Altri ordini i cui valori sono stati portati a zero riguardavano carte regalo, che potevano poi essere utilizzate per effettuare acquisti nei negozi Apple o rivendute.
L’aspetto più inspiegabile della vicenda è che mentre per i prodotti venivano utilizzati nomi e indirizzi di spedizione falsi, il collaboratore del ricercatore avrebbe utilizzato il sistema per prolungare un contratto AppleCare per lui e la sua famiglia. Ed è stato beccato insieme al suo complice.