Sicherheitsforscher sind in der Regel ein Segen für Unternehmen, geraten jedoch in Schwierigkeiten, wenn sie in das Unternehmen einbrechen, um Millionen zu stehlen. Ein ähnlicher Vorfall ereignete sich bei einem der wertvollsten Unternehmen der Welt, Apfel. Ein Sicherheitsforscher mit einer Erfolgsbilanz bei der Unterstützung der iPhone Der Hersteller, der Schwachstellen in seiner Software identifizierte und stopfte, brachte dem Unternehmen 2,5 Millionen US-Dollar ein.
Einem Bericht von 404 Media zufolge soll ein „legitimierter Sicherheitsforscher, der Apple mehrere Schwachstellen gemeldet hat“ eine Lücke ausgenutzt und das Unternehmen mit Geschenkkarten und Produkten betrogen haben. Interessant ist, dass dieser Forscher, Noah Roskin-Frazee – der für ZeroClicks Lab arbeitet – von Apple für mehrere CVE-Berichte verantwortlich gemacht wurde, darunter Hilfe bei WLAN-Schwachstellen.
Ihm wurde vorgeworfen, „angeblich in ein mit dem Backend von Apple verbundenes System eingebrochen zu sein und diesen Zugriff dann genutzt zu haben, um den Technologieriesen um Geschenkkarten und Elektronik im Wert von 2,5 Millionen US-Dollar zu betrügen“, heißt es in dem Bericht unter Berufung auf Gerichtsakten. Er wurde zusammen mit einem mutmaßlichen Mitverschwörer zwei Wochen, nachdem Apple sich bei ihm bedankt hatte, festgenommen.
Wie Sicherheitsforscher den Fehler ausnutzten
Aus den Gerichtsakten geht hervor, dass der Forscher und sein Komplize ein Tool zum Zurücksetzen des Passworts verwendet haben, um Zugriff auf ein Mitarbeiterkonto eines Unternehmens namens Unternehmen B zu erhalten. Berichten zufolge könnte es sich dabei um ein Drittunternehmen handeln, das Kundensupportdienste für Apple betreibt.
„Im Verlauf des Plans versuchten der Angeklagte und seine Mitverschwörer, sich auf betrügerische Weise mehr als 3 Millionen US-Dollar von Unternehmen A zu beschaffen [Apple] „Wir haben Produkte und Dienstleistungen durch mehr als zwei Dutzend betrügerische Bestellungen beschädigt“, heißt es in der Anklageschrift.
Dieses Apple-Mitarbeiterkonto wurde für den Zugriff auf weitere Konten verwendet, von denen eines den Zugriff auf die VPN-Server ermöglichte und ihnen so Zugriff auf das Toolbox-System von Apple verschaffte. Berichten zufolge gaben sie unter falschen Namen Bestellungen auf und nutzten Toolbox, um die zu zahlenden Beträge auf 0 US-Dollar zu ändern.
Für die abgeschlossenen Bestellungen erhielt der Angeklagte rund 2,5 Millionen US-Dollar an elektronischen Geschenkkarten und mehr als 100.000 US-Dollar an „Produkten und Dienstleistungen“. Viele dieser Geschenkkarten und Produkte seien dann an Dritte weiterverkauft worden, heißt es in dem Bericht.
Einem Bericht von 404 Media zufolge soll ein „legitimierter Sicherheitsforscher, der Apple mehrere Schwachstellen gemeldet hat“ eine Lücke ausgenutzt und das Unternehmen mit Geschenkkarten und Produkten betrogen haben. Interessant ist, dass dieser Forscher, Noah Roskin-Frazee – der für ZeroClicks Lab arbeitet – von Apple für mehrere CVE-Berichte verantwortlich gemacht wurde, darunter Hilfe bei WLAN-Schwachstellen.
Ihm wurde vorgeworfen, „angeblich in ein mit dem Backend von Apple verbundenes System eingebrochen zu sein und diesen Zugriff dann genutzt zu haben, um den Technologieriesen um Geschenkkarten und Elektronik im Wert von 2,5 Millionen US-Dollar zu betrügen“, heißt es in dem Bericht unter Berufung auf Gerichtsakten. Er wurde zusammen mit einem mutmaßlichen Mitverschwörer zwei Wochen, nachdem Apple sich bei ihm bedankt hatte, festgenommen.
Wie Sicherheitsforscher den Fehler ausnutzten
Aus den Gerichtsakten geht hervor, dass der Forscher und sein Komplize ein Tool zum Zurücksetzen des Passworts verwendet haben, um Zugriff auf ein Mitarbeiterkonto eines Unternehmens namens Unternehmen B zu erhalten. Berichten zufolge könnte es sich dabei um ein Drittunternehmen handeln, das Kundensupportdienste für Apple betreibt.
„Im Verlauf des Plans versuchten der Angeklagte und seine Mitverschwörer, sich auf betrügerische Weise mehr als 3 Millionen US-Dollar von Unternehmen A zu beschaffen [Apple] „Wir haben Produkte und Dienstleistungen durch mehr als zwei Dutzend betrügerische Bestellungen beschädigt“, heißt es in der Anklageschrift.
Dieses Apple-Mitarbeiterkonto wurde für den Zugriff auf weitere Konten verwendet, von denen eines den Zugriff auf die VPN-Server ermöglichte und ihnen so Zugriff auf das Toolbox-System von Apple verschaffte. Berichten zufolge gaben sie unter falschen Namen Bestellungen auf und nutzten Toolbox, um die zu zahlenden Beträge auf 0 US-Dollar zu ändern.
Für die abgeschlossenen Bestellungen erhielt der Angeklagte rund 2,5 Millionen US-Dollar an elektronischen Geschenkkarten und mehr als 100.000 US-Dollar an „Produkten und Dienstleistungen“. Viele dieser Geschenkkarten und Produkte seien dann an Dritte weiterverkauft worden, heißt es in dem Bericht.