De ayudar a Apple a estafarles 2,5 millones de dólares en iPhone, Mac y tarjetas regalo
Aprovechó una vulnerabilidad del software de Apple para estafar a la compañía
Un investigador de seguridad con una muy buena reputación a la hora de ayudar a Apple a identificar vulnerabilidades en sus sistemas operativos encontró un fallo de seguridad que le resultó demasiado tentador... Tanto así, que en lugar de reportar la vulnerabilidad a Apple –tal y como había hecho siempre– trató de estafar a la compañía.
Apple tiene un programa de investigación de seguridad que otorga grandes recompensas económicas a aquellos colaboradores que encuentren vulnerabilidades en el software de sus dispositivos. Pero este investigador de seguridad decidió actuar por su cuenta, y ahora se enfrentará a las consecuencias.
El investigador en cuestión, llamado Noah Roskin-Frazee, trabaja para ZeroClicks Lab e intentó estafar a Apple a través de tarjetas de regalo y otros productos con valor de dos millones y medio de dólares.
El investigador que intentó estafar a Apple dos millones y medio de dólares
Noah Roskin-Frazee había ayudado a Apple en varias ocasiones reportando una serie de vulnerabilidades en su software que la firma de Cupertino después solventaría con actualizaciones y parches de seguridad.
Apple agradeció a Noah Roskin-Frazee por su colaboración en un comunicado de seguridad sobre macOS Sonoma 14.2. Lo curioso de todo esto es que el agradecimiento llegó dos semanas después de que el investigador fuera arrestado por fraude en su intento por estafar 2,5 millones de dólares a Apple. Si fuera un reproche, hay que reconocer que es bastante elegante.
Nos gustaría dar reconocimiento a Noah Roskin-Frazee y al Profesor J. (ZeroClicks.ai Lab) por su asistencia.
Desde 404Media informan que el investigador usó un ataque de escalada para obtener acceso al sistema, con la supuesta ayuda de su colega investigador Keith Latteri. Utilizaron una herramienta de reseteo de contraseñas para acceder a la cuenta de un empleado de una compañía denominada Compañía B, que parece ser un servicio de soporte de terceros asociado a Apple.
Esa cuenta contaba con acceso a otras cuentas de la misma compañía, una de las cuales les permitió entrar a los servidores VPN. Una vez dentro del sistema, supuestamente hicieron pedidos con nombres falsos y utilizaron una herramienta de Apple para cambiar los precios a 0 dólares. Pidieron tarjetas de regalo y productos iPhone y MacBook.
Sorprendentemente uno de los dos investigadores de seguridad, después de haber logrado acceso a los servidores de Apple y realizar pedidos con nombres falsos, solicitó una extensión del contrato de AppleCare para él y su familia.