Un chercheur en sécurité ayant déjà aidé Apple à identifier les vulnérabilités de ses logiciels a apparemment trouvé une faille de sécurité particulière trop tentante.
Au lieu de le signaler à l’entreprise de Cupertino, il l’aurait exploité pour escroquer l’entreprise en lui vendant des cartes cadeaux et des produits d’une valeur d’environ 2,5 millions de dollars…
Noah Roskin-Frazee, qui travaille pour ZeroClicks Lab, est crédité par Apple pour plusieurs rapports CVE, et a été spécifiquement remercié par Apple pour obtenir de l’aide sur les vulnérabilités Wi-Fi.
Nous tenons à remercier Noah Roskin-Frazee et le professeur J. (ZeroClicks.ai Lab) pour leur aide.
Ce qui est inhabituel, c’est que les remerciements sont intervenus deux semaines après son arrestation pour avoir prétendument fraudé Apple de 2,5 millions de dollars.
Roskin-Frazee aurait découvert une vulnérabilité dans un système backend Apple connu sous le nom de Toolbox. Il s’agit d’un système dans lequel l’entreprise met les commandes en attente, période pendant laquelle elles peuvent être modifiées.
404Médias rapporte qu’il a utilisé une attaque d’escalade pour y accéder, avec l’aide apparente de son collègue chercheur Keith Latteri.
Premièrement, indique-t-il, ils ont utilisé un outil de réinitialisation de mot de passe pour accéder à un compte d’employé appartenant à une société décrite uniquement comme la société B, mais qui semble être une société tierce exploitant des services de support client pour Apple.
Ce compte était utilisé pour accéder à d’autres comptes au sein de la même entreprise, dont l’un donnait accès à ses serveurs VPN. C’est à ce moment-là qu’ils auraient pu accéder au système Toolbox d’Apple.
Le rapport indique qu’ils ont passé des commandes sous de faux noms, puis ont utilisé Toolbox pour modifier les sommes à payer à 0 $, ainsi que pour ajouter des appareils supplémentaires aux commandes, « comme des téléphones et des ordinateurs portables », sans qu’aucun frais supplémentaire ne soit déclenché.
D’autres commandes dont la valeur a été ramenée à zéro concernaient des cartes-cadeaux, qui pouvaient ensuite être utilisées pour effectuer des achats dans les magasins Apple ou revendues pour un pourcentage élevé de leur valeur nominale.
L’aspect le plus inexplicable du rapport est que même si de faux noms et adresses de livraison directe ont été utilisés pour les produits, l’un des deux accusés a apparemment utilisé le système pour prolonger un contrat AppleCare. pour lui et sa famille.
404Médias indique que les avocats des deux accusés n’ont pas répondu à une demande de commentaires.
photo par Carles Rabada sur Unsplash
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.
