Supuesto investigador de seguridad habría aprovechado herramienta interna de Apple para robar millones.

Según un informe de 404 Media, un investigador de seguridad que reportó bugs a Apple fue arrestado en enero por defraudar a la empresa en millones de dólares.

Se acusó al investigador, Noah Roskin-Frazee, junto con un cómplice, de obtener más de $3 millones en productos y servicios a través de más de dos docenas de pedidos fraudulentos, incluyendo alrededor de $2.5 millones en tarjetas de regalo y más de $100,000 en “productos y servicios”.

Aunque Apple no se menciona explícitamente en los registros judiciales, una “Empresa A” anónima ubicada en Cupertino, California, es claramente Apple. El tribunal menciona que uno de los perpetradores usó tarjetas de regalo para “comprar Final Cut Pro en la App Store de Company A,” y Apple es la única empresa que vende el software.

En 2019, Frazee y su cómplice utilizaron una herramienta de restablecimiento de contraseña para acceder a una cuenta de empleado que pertenecía a una “Empresa B” no nombrada, que brinda soporte al cliente de Apple. Esa cuenta les dio acceso a credenciales adicionales de empleados, y Frazee accedió a los servidores VPN de la Empresa B. A partir de ahí, Frazee pudo ingresar a los sistemas de Apple y realizar pedidos fraudulentos de productos de la empresa.

Utilizó el programa “Toolbox” de Apple que podía usarse para editar pedidos después de ser realizados, y cambió los valores de los pedidos a cero, agregó productos a los pedidos y extendió contratos de AppleCare. Abusó del programa de Apple de enero a marzo de 2019.

Los acusados accedieron remotamente a computadoras ubicadas en India y Costa Rica como parte del plan, añade la acusación. El fraude en sí mismo implicaba cambiar los valores monetarios de los pedidos a cero, agregando productos a pedidos existentes sin costo, como teléfonos y computadoras portátiles, y extendiendo contratos de servicio existentes, añade la acusación. Eso incluía extender un contrato de servicio al cliente asociado con uno de los acusados y su familia por dos años adicionales sin pagar.

LEAR  Diseño de interfaz de usuario para personalización: creación de recorridos de usuario personalizados

En un documento de soporte de enero, Apple agradeció a Frazee por encontrar varios bugs en macOS Sonoma, menos de dos semanas después de su arresto. “Quisiéramos agradecer a Noah Roskin-Frazee y al Prof. J. (Laboratorio ZeroClicks.ai) por su ayuda,” dice la página de Apple en referencia a una vulnerabilidad de Wi-Fi.

Frazee ha sido acusado de fraude electrónico, fraude postal, conspiración para cometer fraude electrónico y fraude postal, conspiración para cometer fraude informático y abuso, y daño intencional a una computadora protegida. Se le requerirá que renuncie a todos los bienes robados, y podría ser condenado a más de 20 años de cárcel si es declarado culpable.