Исследователя, который не раз сообщал компании Apple об уязвимостях, обвиняют в том, что он взломал систему, подключенную к бэкенду Apple. Якобы специалист получил доступ к подарочным картами и товарам на сумму более 2,5 млн долларов США.
Обвиняемый, Ноа Роскин-Фрейзи (Noah Roskin-Frazee), был арестован еще в начале января 2024 года. При этом через две недели после ареста компания Apple поблагодарила исследователя за обнаружение нескольких уязвимостей.
Согласно судебным документам, «в ходе мошеннической схемы обвиняемый и его соучастники пытались обманным путем получить более 3 млн долларов США в виде продукции и услуг компании A [Apple] посредством более чем двух десятков мошеннических заказов».
Благодаря заказам, которые все же были выполнены, обвиняемые якобы получили около 2,5 млн долларов в виде подарочных карт и более 100 000 долларов в виде «продуктов и услуг». Власти утверждают, что многие из этих подарочных карт и товаров в итоге были перепроданы третьим лицам. К примеру, в одном случае шесть ноутбуков были отправлены на SellShark.com, стороннему продавцу электроники.
Хотя в судебных документах не раскрываются названия пострадавших компаний (вместо этого они обозначены как «компания А» и «компания Б»), все признаки указывают на то, что атаке подверглась компания Apple и ее подрядчик. К примеру, известно, что штаб-квартира «компании A» находится в Купертино, штат Калифорния.
Кроме того, в документах упоминается, что один из обвиняемых использовал подарочные карты для «покупки FinalCut Pro в магазине приложений компании A». FinalCut Pro — это ПО для редактирования видео, которое стоит 299,99 доллара. Единственный способ официально приобрести его онлайн — Apple App Store.
Ноа Роскин-Фрейзи позиционирует себя как ИБ-исследователя, и он не раз получал благодарности от Apple за сообщения об уязвимостях. К примеру, его имя фигурирует в отчетах об уязвимостях macOS Ventura и macOS Sonoma.
В одном из этих отчетов, 22 января 2024 года, Apple пишет: «Мы хотели бы выразить благодарность Ноа Роскину-Фрейзи и профессору Дж. (из ZeroClicks.ai Lab) за помощь». Издание 404 Media отмечает, что ZeroClicks Lab — это компания, занимающаяся исследованиями в области безопасности, на сайте которой действительно упомянут Роскин-Фрейзи.
Согласно данным обвинения, мошенническая схема, в которой участвовал Роскин-Фрейзи, существовала с декабря 2018 года по март 2019 года. Якобы обвиняемые использовали инструмент для сброса пароля, чтобы получить доступ к учетной записи сотрудника компании Б, которая базируется во Фремонте, штат Калифорния. Эта компании предоставляла «решения и услуги для клиентов компании A [Apple]». Другими словами, компания Б помогала Apple с поддержкой клиентов.
Затем обвиняемые якобы получили доступ к учетным данным других сотрудников и использовали их для доступа к VPN-серверам компании Б. Этот доступ позволил им проникнуть в системы Apple, что позволило размещать мошеннические заказы на продукцию и услуги. Также обвиняемые якобы устанавливали вредоносные скрипты в системы компании Б, один из которых надолго закрепился в системах компании.
В итоге считается, что обвиняемые злоупотребляли программой Apple Toolbox, которая позволяла редактировать заказы. Утверждается, что они удаленно подключались к компьютерам, расположенным в Индии и Коста-Рике, а затем изменяли денежную стоимость заказов до нуля, добавляя к существующим заказам товары без стоимости (включая телефоны и ноутбуки), а также продлевали существующие контракты сервисного обслуживания AppleCare.
К примеру, страховка, связанная с одним из обвиняемых и его семьей, была продлена бесплатно на два года (похоже, именно это в итоге помогло раскрыть мошенническую схему). Также сообщается, что обвиняемые заводили аккаунты в службах доставки на вымышленные имена и использовали одноразовые адреса электронной почты.
Ни компания Apple, ни адвокаты Роскина-Фрейзи не прокомментировали ситуацию и не ответили на запросы журналистов.
