Las empresas de tecnología a menudo trabajan con investigadores de seguridad que encuentran y reportan errores y vulnerabilidades. Apple no es una excepción, aunque uno de sus investigadores tuvo problemas cuando hackeó y robó millones de dólares en tarjetas de regalo y productos. La empresa recientemente agradeció al acusado en una actualización de seguridad de software, adjuntando su nombre a algunas de las notas.
Noah Roskin-Frazee fue acusado de hackear el backend de Apple y usar su acceso para robar millones en aplicaciones y productos. Los pedidos que Roskin-Frazee pudo completar sumaron alrededor de $2.5 millones en tarjetas de regalo y más de $100,000 en hardware y servicios. Los documentos judiciales señalan que muchas de las tarjetas fueron revendidas en línea, y en un ejemplo, seis computadoras portátiles fueron vendidas a un revendedor de tercera parte, sellshark.com.
Curiosamente, los documentos judiciales no nombran explícitamente a Apple, solo se refieren a Compañía A y Compañía B, pero los registros indican que una de las tarjetas de regalo se usó para “comprar FinalCut Pro en la App Store de la Compañía A”, que solo se vende por Apple. Otra persona, Keith Latteri, también fue acusada.
Roskin-Frazee y su socio presuntamente usaron una herramienta de restablecimiento de contraseña para acceder a una cuenta de empleado en la Compañía B, que tiene contratos con Apple para soporte al cliente. A partir de ahí, obtuvieron acceso a los servidores VPN de la Compañía B, lo que los llevó a los sistemas de Apple. Eso les permitió realizar pedidos fraudulentos, que fueron manipulados utilizando la aplicación Toolbox de Apple.
Pudieron cambiar el total de los pedidos a cero y agregar productos a los pedidos sin costos. Descaradamente, también se dieron acceso a extensiones de AppleCare sin pagar. La pareja usó direcciones de correo electrónico falsas y servicios de envío falsos como parte de su plan. No está claro cómo identificó Apple a los ladrones, pero los presuntos crímenes ocurrieron hace cinco años. Sea cual sea el proceso, el resultado es claro: Roskin-Frazee y Latteri enfrentan graves cargos de fraude electrónico, fraude postal, conspiración para cometer fraude y abuso informático, y más.