A Apple agradeceu um cracker poucos dias depois de ele ser preso por um esquema que causou um prejuízo de US$2,5 milhões em produtos, cartões-presente e serviços da companhia.
De acordo com informações da 404Media, o pesquisador de segurança Noah Roskin-Frazee, afiliado ao ZeroClicks Lab, encontrou uma vulnerabilidade no Toolbox, um sistema backend que a Apple usa para colocar pedidos em espera.
Com a ajuda de um cúmplice, o cracker usou uma ferramenta de redefinição de senha para obter acesso a uma conta de funcionário de uma empresa terceirizada do suporte ao cliente da Apple. Depois de acessarem as credenciais dos funcionários, eles acessaram os sistemas da Maçã e fizeram pedidos fraudulentos.
Os dois criavam e manipulavam vários pedidos, adicionando produtos como iPhones e Macs, e alterando o custo para zero. Eles também encomendavam cartões-presente que poderiam ser usados nas lojas da Apple ou revendidos. A dupla iniciou o esquema em dezembro de 2018 e continuou até pelo menos março de 2019.
Talvez uma das coisas mais interessantes que surgiram na história é que, duas semanas depois da prisão do cracker, a Apple agradeceu-lhe publicamente por identificar a vulnerabilidade de software que também acometia seus sistemas operacionais.
Gostaríamos de agradecer a Noah Roskin-Frazee e ao Prof. J. (ZeroClicks.ai Lab) por sua assistência.
Vale notar que a Apple possui um programa de recompensa para a identificação de bugs, brechas e vulnerabilidades em seus sistemas — cujos pagamentos podem chegar a US$2 milhões.
