D'ajudar Apple a estafar-los 2,5 milions de dòlars en iPhone, Mac i targetes regal

Un investigador de seguretat amb una molt bona reputació a l'hora d'ajudar Apple a identificar vulnerabilitats en els seus sistemes operatius va trobar una fallada de seguretat que li va resultar massa temptadora... Tant és així, que en lloc de reportar la vulnerabilitat a Apple –tal com havia fet sempre– va intentar estafar la companyia.

Apple té un programa de recerca de seguretat que atorga grans recompenses econòmiques a aquells col·laboradors que trobin vulnerabilitats en el programari dels seus dispositius. Però aquest investigador de seguretat va decidir actuar pel seu compte, i ara s'enfrontarà a les conseqüències.

L'investigador en qüestió, anomenat Noah Roskin-Frazee, treballa per a ZeroClicks Lab i va intentar estafar Apple a través de targetes de regal i altres productes amb un valor de dos milions i mig de dòlars.

L'investigador que va intentar estafar Apple dos milions i mig de dòlars

Noah Roskin-Frazee havia ajudat Apple en diverses ocasions reportant una sèrie de vulnerabilitats en el seu programari que la firma de Cupertino després resoldria amb actualitzacions i pegats de seguretat.

Apple va agrair a Noah Roskin-Frazee la seva col·laboració en un comunicat de seguretat sobre macOS Sonoma 14.2. El curiós de tot això és que l'agraïment va arribar dues setmanes després que l'investigador fos arrestat per frau en el seu intent d'estafar 2,5 milions de dòlars a Apple. Si fos un retret, cal reconèixer que és bastant elegant.

Ens agradaria donar reconeixement a Noah Roskin-Frazee i al Professor J. (ZeroClicks.ai Lab) per la seva assistència.

Des de 404Media informen que l'investigador va fer servir un atac d'escalada per obtenir accés al sistema, amb la suposada ajuda del seu col·lega investigador Keith Latteri. Van fer servir una eina de reinici de contrasenyes per accedir al compte d'un empleat d'una companyia anomenada Companyia B, que sembla ser un servei de suport de tercers associat a Apple.

Aquest compte tenia accés a altres comptes de la mateixa companyia, una de les quals els va permetre entrar als servidors VPN. Un cop dins del sistema, suposadament van fer comandes amb noms falsos i van utilitzar una eina d'Apple per canviar els preus a 0 dòlars. Van demanar targetes de regal i productes iPhone i MacBook.

Sorprenentment un dels dos investigadors de seguretat, després d'haver aconseguit accés als servidors d'Apple i realitzar comandes amb noms falsos, va sol·licitar una extensió del contracte d'AppleCare per a ell i la seva família.