Poucos dias após a prisão de um indivíduo envolvido em um esquema que causou um prejuízo de US$2,5 milhões em produtos, cartões-presente e serviços da Apple, a empresa expressou gratidão a um pesquisador de segurança pelo seu papel na identificação de uma vulnerabilidade no Toolbox, um sistema backend utilizado pela empresa para processar pedidos.
Segundo relatos da 404Media, Noah Roskin-Frazee, um pesquisador afiliado ao ZeroClicks Lab, descobriu a falha de segurança que permitiu o acesso não autorizado a uma conta de funcionário de uma empresa terceirizada de suporte ao cliente da Apple. Com a colaboração de um cúmplice, o indivíduo utilizou ferramentas de redefinição de senha para obter acesso às credenciais dos funcionários e, subsequentemente, aos sistemas da Apple, realizando pedidos fraudulentos.
Durante o esquema, os envolvidos manipularam vários pedidos, incluindo produtos como iPhones e Macs, ajustando os custos para zero e solicitando cartões-presente que poderiam ser utilizados nas lojas da Apple ou revendidos. O esquema teve início em dezembro de 2018 e continuou até, pelo menos, março de 2019.
Um aspecto notável dessa história é que, duas semanas após a prisão do indivíduo envolvido, a Apple reconheceu publicamente sua contribuição ao identificar a vulnerabilidade de software que afetava seus sistemas operacionais. É importante ressaltar que a Apple mantém um programa de recompensa para a identificação de bugs, brechas e vulnerabilidades em seus sistemas, com pagamentos que podem chegar a até US$2 milhões.
Fonte: MacMagazine