یک محقق امنیتی با سابقه کمک به اپل در شناسایی آسیبپذیریهای نرمافزاری، ظاهراً یک حفره امنیتی بسیار وسوسهانگیز پیدا کرده و محصولاتی به ارزش تقریبی ۲.۵ میلیون دلار به سرقت برده است.
به گزارش TechNock، یکی از محققان امنیتی از سیستم های اپل 2.5 میلیون دلار کلاهبرداری کرده است. به جای گزارش این آسیب پذیری به اپل، او متهم به سوء استفاده از آن برای کلاهبرداری از شرکت است.
به نقل از 9to5macNoah Ruskinfrazi از ZeroClicks Lab به دلیل گزارش های متعدد CVE و به ویژه کمک به رفع آسیب پذیری های Wi-Fi مورد تحسین اپل قرار گرفته است. نکته عجیب این است که قدردانی از راسکین فریزی دو هفته پس از دستگیری او به دلیل کلاهبرداری 2.5 میلیون دلاری از اپل صورت گرفت.
به نظر می رسد که Ruskinfrazi یک آسیب پذیری در سیستم پشتیبانی اپل به نام Toolbox پیدا کرده است. این سیستم به عنوان فضایی برای نگهداری موقت سفارشات اپل توصیف می شود که در طی آن می توان آنها را ویرایش کرد.
به گزارش 404Media، وی با کمک محقق دیگری به نام Keith Lattery از حمله ای به نام Escalation برای دسترسی به این سیستم استفاده کرد.
بر اساس گزارش فوق، راسکین فرزی و لاتاری از ابزار بازنشانی رمز عبور برای دسترسی به حساب کاربری یکی از کارکنان متعلق به شرکتی که فقط به عنوان شرکت B شناسایی شده است استفاده کرده اند. اما به نظر می رسد شرکت مذکور یک شرکت شخص ثالث است که به مشتری ارائه می دهد. خدمات پشتیبانی به اپل
با استفاده از آن حساب کاربری، Ruskin-Frezey و Lottery به سایر حساب های کاربری در همان شرکت دسترسی پیدا کردند. یکی از این حساب ها امکان دسترسی به سرورهای VPN آن شرکت را برای آنها فراهم کرد. گزارش شده است که آنها موفق شده اند از طریق این نقطه و سرورهای VPN به سیستم Toolbox اپل دسترسی پیدا کنند.
به گفته 404Media، آنها با استفاده از نام های جعلی سفارش دادند و سپس از Toolbox برای تغییر پرداخت ها به صفر دلار استفاده کردند. همچنین آنها محصولاتی مانند تلفن و لپ تاپ را بدون پرداخت هزینه اضافی به سفارشات خود اضافه کردند.
سایر سفارشهایی که ارزش آنها به صفر تغییر یافت شامل کارتهای هدیه بود که بعداً میتوان از آنها برای خرید در فروشگاههای اپل استفاده کرد یا با درصد زیادی از ارزش اصلی خود با افراد دیگر معامله کرد.
عجیب ترین جنبه گزارش این است که در حالی که از نام های جعلی و آدرس های تحویل جعلی برای محصولات استفاده شده است، به نظر می رسد یکی از دو متهم از این سیستم برای تمدید قرارداد AppleCare برای خود و خانواده اش استفاده کرده است. این عمل قابل توضیح نیست. چون انگیزه پشت آن مشخص نیست.
کلاهبرداری 2.5 میلیون دلاری محقق امنیتی از سیستم های اپل برای اولین بار در Tech Knock – اخبار دنیای فناوری منتشر شد. ظاهر شد.
گفتگو در مورد این post