Fidarsi è bene, ma non farlo a volte può evitare la perdita di ingenti somme di denaro. Lo dimostra la storia di Noah Roskin-Frazee, un ricercatore di sicurezza che a gennaio è stato arrestato per aver frodato Apple. Secondo quanto riportato di recente da 404 Media, grazie all’aiuto di un complice, Frazee è riuscito a mettere le mani su oltre 3 milioni di dollari di prodotti e servizi – tra cui circa 2,5 milioni di dollari di carte regalo -, sfruttando una vulnerabilità del sistema interno. E nonostante gli atti del tribunale relativi alla questione non citino esplicitamente Apple, non ci sono dubbi che si tratti della compagnia di Cupertino.
Come si legge nei documenti, nel 2019 Frazee e il suo complice hanno utilizzato uno strumento di reimpostazione della password per ottenere l’accesso all’account di un dipendente di una presunta “azienda B” che, a quanto pare, gestiva l’assistenza clienti di Apple. Da qui il ricercatore è riuscito ad accedere prima ai server VPN della compagnia in questione, e poi ai sistemi di Apple, così da poter effettuare ordini fraudolenti in modo del tutto indisturbato. E questo grazie alla sua capacità di sfruttare la vulnerabilità di Toolbox, un sistema utilizzato dalla compagnia per mettere in attesa gli ordini prima della loro elaborazione, in cui però questi possono essere ancora modificati. Dopo aver effettuato ordini sotto falso nome, quindi, il ricercatore è riuscito a intervenire su Toolbox per azzerarne il prezzo di vendita o per aggiungere gratuitamente prodotti agli ordini già esistenti. In questo modo, Frazee è riuscito a entrare in possesso di prodotti, servizi e carte regalo Apple senza mai dover spendere un dollaro.
Quello che sorprende di tutta questa storia è che, in un documento pubblicato meno di due settimane dopo il suo arresto, Apple ha ringraziato Frazee per aver portato alla sua attenzione diversi bug presenti in macOS Sonoma. “Vorremmo ringraziare Noah Roskin-Frazee e il Prof. J. (ZeroClicks.ai Lab) per la loro assistenza”, ha dichiarato la compagnia, nonostante il ricercatore sia stato accusato di frode telematica, frode postale, associazione a delinquere finalizzata alla frode telematica e alla frode postale, associazione a delinquere finalizzata alla frode e all’abuso di computer, e danneggiamento intenzionale di un computer protetto. Un’accusa che potrebbe costargli oltre 20 anni di carcere.
Fonte : Wired