یک محقق امنیتی از سیستم های اپل برای کلاهبرداری 2.5 میلیون دلاری استفاده کرد

از

[ad_1]

محقق امنیتی از سیستم های اپل برای کلاهبرداری 2.5 میلیون دلاری استفاده کرد | عکس هواپیمای بدون سرنشین از پارک اپل

یک محقق امنیتی که زمانی به اپل کمک کرد تا آسیب‌پذیری‌های نرم‌افزار خود را شناسایی کند، ظاهراً یک نقص امنیتی خاص را بسیار وسوسه‌انگیز یافته است.

او ظاهراً به جای گزارش آن به شرکت کوپرتینویی، از آن برای کلاهبرداری از شرکت با فروش کارت های هدیه و محصولاتی به ارزش حدود 2.5 میلیون دلار به آن سوء استفاده کرد.

Noah Roskin-Frazee که برای آزمایشگاه ZeroClicks کار می کند، توسط اپل برای چندین گزارش CVE اعتبار دارد و به طور خاص توسط اپل برای کمکش در مورد آسیب پذیری های Wi-Fi تشکر کرده است.

مایلیم از Noah Roskin-Frazee و پروفسور J. (آزمایشگاه ZeroClicks.ai) برای کمکشان تشکر کنیم.

آنچه غیرعادی است این است که تشکر دو هفته پس از دستگیری او به اتهام کلاهبرداری 2.5 میلیون دلاری از اپل صورت گرفت.

گزارش شده است که Roskin-Frazee یک آسیب پذیری را در یک سیستم پشتیبان اپل به نام Toolbox کشف کرده است. این سیستمی است که در آن شرکت سفارشات را به حالت تعلیق در می آورد و در این مدت می توان آنها را تغییر داد.

404 رسانه گزارش می دهد که او با کمک ظاهری محقق همکار کیت لاتری، از یک حمله تشدید برای دستیابی به دسترسی استفاده کرد.

ابتدا، می‌گوید، آنها از یک ابزار بازنشانی رمز عبور برای دسترسی به حساب کارمندی استفاده کردند که متعلق به شرکتی است که فقط به عنوان شرکت B توصیف شده است، اما به نظر می‌رسد یک شرکت شخص ثالث که مشتری خدمات پشتیبانی اپل است.

این حساب برای دسترسی به حساب های دیگر در همان شرکت استفاده می شد که یکی از آنها دسترسی به سرورهای VPN آن را فراهم می کرد. آن زمان بود که آنها می توانستند به سیستم جعبه ابزار اپل دسترسی داشته باشند.

این گزارش می‌گوید که آنها سفارش‌هایی را با نام‌های جعلی ارسال کرده‌اند، سپس از Toolbox برای تغییر پرداخت‌ها به 0 دلار و همچنین اضافه کردن دستگاه‌های اضافی به سفارش‌ها، «مانند تلفن و لپ‌تاپ» استفاده کرده‌اند، بدون اینکه هزینه‌های اضافی ایجاد شود.

سایر سفارش‌هایی که ارزش آن‌ها به صفر کاهش یافت، مربوط به کارت‌های هدیه بود که می‌توان از آن‌ها برای خرید در فروشگاه‌های اپل استفاده کرد یا با درصد بالایی از ارزش اسمی آن‌ها دوباره فروخته شد.

غیرقابل توضیح ترین جنبه گزارش این است که حتی با وجود اینکه از نام های جعلی و آدرس های ارسالی برای محصولات استفاده شده است، یکی از دو متهم ظاهراً از این سیستم برای تمدید قرارداد AppleCare استفاده کرده است. برای او و خانواده اش

404 رسانه می گوید وکلای هر دو متهم به درخواست اظهار نظر پاسخ ندادند.

عکس کارلس رابادا در Unsplash

FTC: ما از لینک های وابسته به صورت خودکار و درآمدزا استفاده می کنیم. بیشتر.

[ad_2]

Source link

بخش appl 9to5mac فارسی