Дослідник безпеки скористався своїми знаннями, щоб надурити Apple на 2,5 мільйона доларів
Дослідник безпеки скористався своїми знаннями, щоб надурити Apple на 2,5 мільйона доларів

Дослідник безпеки скористався своїми знаннями, щоб надурити Apple на 2,5 мільйона доларів

Добро переходить на темну сторону

Замість того, щоб повідомити про знайдену вразливість, Ноа Роскін-Фрейзі, який працює в ZeroClicks Lab, скористався нею, щоб виманити подарункові картки та продукти на суму близько 2,5 мільйонів доларів. Найцікавіше, що колись він отримав "особливу подяку від Apple за допомогу в усуненні вразливостей у WiFi", а також є автором численних звітів про інші вразливості.

Як повідомляється, Роскін-Фрейзі знайшов вразливість у внутрішній системі Apple, відомій як Toolbox. Це система, за допомогою якої компанія ставить замовлення в режим очікування, під час якого їх можна редагувати.

404Media повідомляє, що він з допомогою колеги-дослідника Кіта Латері використав ескалаційну атаку, щоб залізти в систему. Обоє застосували інструмент для скидання пароля, щоб отримати доступ до облікового запису співробітника компанії, описаній лише як "Компанія B", але яка, як видається, є сторонньою фірмою, що надає послуги з підтримки клієнтів Apple.

Цей обліковий запис був використаний для доступу до інших облікових записів у цій же компанії, один з яких надавав доступ до її VPN-серверів. Саме звідти, як повідомляється, вони змогли отримати доступ до системи Toolbox компанії Apple.

  • У звіті йдеться, що вони розміщували замовлення під вигаданими іменами, а потім використовували Toolbox, щоб змінити суму до сплати на 0 доларів, а також додавали до замовлень додаткові пристрої, "такі як телефони і ноутбуки", без будь-яких додаткових платежів.
  • Інші замовлення, вартість яких було змінено на нуль, стосувалися подарункових карток, які потім можна було використати для покупок в магазинах Apple або перепродати за високий відсоток від їхньої номінальної вартості.
  • Хоча для товарів використовувалися фальшиві імена та адреси доставки, один з двох обвинувачених також використав систему для продовження контракту AppleCare для себе і своєї сім'ї.
Теги за темою
Apple Інтернет
Джерело матеріала
loader
loader