Cómo un investigador de seguridad defraudó a Apple por 2,5 millones de dólares

Los investigadores de seguridad suelen ser una bendición para las organizaciones, pero se convierten en un problema cuando irrumpen en la empresa para robar millones. Un incidente similar ocurrió con una de las empresas más valiosas del mundo, Apple. Un investigador de seguridad con un historial de ayudar al fabricante del iPhone a identificar y parchear vulnerabilidades en su software ha estafado a la empresa con 2,5 millones de dólares.

Según un informe de 404 Media, un «investigador de seguridad legítimo que informó múltiples vulnerabilidades de seguridad a Apple» supuestamente aprovechó una vulnerabilidad y estafó a la empresa con tarjetas de regalo y productos. Lo interesante es que este investigador, Noah Roskin-Frazee, que trabaja en ZeroClicks Lab, ha sido certificado por Apple por múltiples informes sobre la lucha contra el extremismo violento, incluida la ayuda con las vulnerabilidades wifi.

«Fue acusado de piratear un sistema conectado al backend de Apple y luego utilizar ese acceso para defraudar al gigante tecnológico con tarjetas de regalo y productos electrónicos por valor de 2,5 millones de dólares», dice el informe, citando registros judiciales. Fue arrestado junto con un presunto cómplice dos semanas después de que Apple le agradeciera.

¿Cómo aprovechó el investigador de seguridad la vulnerabilidad?Los registros judiciales indican que el investigador y un cómplice utilizaron una herramienta de restablecimiento de contraseña para acceder a la cuenta de un empleado que pertenece a una empresa descrita como Empresa B. Según se informa, puede tratarse de una empresa externa que gestiona los servicios de atención al cliente de Apple.

«Durante el curso del plan, el acusado y sus cómplices intentaron obtener de manera fraudulenta más de $3 millones en la Compañía A». [Apple] Productos y servicios a través de más de veinte pedidos fraudulentos.

Esta cuenta de empleado de Apple se utilizó para acceder a más cuentas, una de las cuales otorgó acceso a sus servidores VPN, dándoles acceso al sistema Toolbox de Apple. Según se informa, realizaron pedidos con nombres falsos y utilizaron Toolbox para cambiar los montos a pagar a $0.

Por pedidos completados, el acusado recibió aproximadamente 2,5 millones de dólares en tarjetas de regalo electrónicas y más de 100.000 dólares en “productos y servicios”. Muchas de estas tarjetas de regalo y productos fueron luego revendidos a terceros, según el informe.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *