Разделы

Бизнес Законодательство Кадры Цифровизация Электроника Техника

ИТ-шник, нанятый Apple для поиска уязвимостей, украл у нее $3 миллиона

ИБ-специалист, нанятый Apple и получивший благодарность за выявленные уязвимости, взломал сервер компании, чтобы манипулировать фальсифицированными заказами на ее электронику и услуги. Мошенническая схема проработала несколько месяцев и помогла украсть у корпорации более $3 млн.

Сертифицированного специалиста Apple обвиняют в краже

Официально нанятому Apple специалисту по информационной безопасности (ИБ), который выявил для компании многочисленные уязвимости, в суде было предъявлено обвинение. Он якобы взломал систему, подключенную к серверу Apple, а затем использовал этот доступ для обмана технологического гиганта через фальсифицированные заказы на его продукцию. Об этом сообщило издание 404 Media.

Главный обвиняемый — Ной Роскин-Фрейзи (Noah Roskin-Frazee) из Сан-Франциско — был арестован 11 января 2024 г. В качестве его сообщника в обвинительном заключении фигурирует имя Кита Латтери (Keith Latteri), жителя Нью-Джерси и Огайо.

Названия организаций в протоколах суда не указываются, в них говорится о «Компании А». Но все указывает на то, что это Apple.

Нанятый Apple специалист по ИБ украл у компании компьютеров, смартфонов и услуг на $3 млн

Роскин-Фрейзи позиционирует себя как специалиста по ИБ. Он получил благодарность от Apple за сообщения об уязвимостях. Его имя включено в отчеты об уязвимостях macOS Ventura и macOS Sonoma. В одном из этих отчетов Apple прямо поблагодарила обвиняемого Ноя Роскина-Фрейзи 22 января 2024 г., то есть почти через две недели после его ареста: «Мы хотели бы выразить признательность Ною Роскину-Фрейзи и профессору Джей. (ZeroClicks.ai Lab) за их помощь».

ZeroClicks Lab — исследовательская компания в области безопасности.

В аккаунте Twitter, зарегистрированном на имя Роскина-Фрейзи, он и профессор Джей (Prof. J.) указаны как «сертифицированные специалисты Apple».

Грандиозный взлом

Схема взлома проработала примерно с декабря 2018 г. и как минимум до марта 2019 г.

Все началось с того, что, используя инструмент для сброса пароля, ответчики получили доступ к учетной записи сотрудника другой компании, которая помогала Apple с поддержкой клиентов. В судебных протоколах эта компания называется «Компания Б».

Затем обвиняемые якобы получили доступ к дополнительным учетным данным сотрудников, которые затем использовали для доступа к VPN-серверам «Компании Б». Этот доступ позволил им, в свою очередь, получить доступ к системам Apple, где они размещали мошеннические заказы.

Согласно обвинительному заключению, обвиняемые также создавали учетные записи в службах доставки на вымышленные имена, а также использовали одноразовые адреса электронной почты.

Что удалось украсть

Сама афера заключалась в обнулении денежной стоимости заказа, добавлении к уже оплаченным заказам продуктов, таких как телефоны и ноутбуки, а также продлении контрактов на обслуживание баз каких-либо затрат. Например, один из обвиняемых продлил контракт на обслуживание для членов своей семьи на два года без оплаты.

Почему обучать сотрудников гораздо выгоднее, чем искать новых
бизнес-коммуникации

За созданные заказы ответчики получили около $2,5 млн в виде электронных подарочных карт и более $100 тыс. в виде «продуктов и услуг». Многие из этих подарочных карт и продуктов они затем перепродали третьим лицам.

В одном случае речь шла об отправке шести ноутбуков компании SellShark.com, стороннему продавцу электроники, говорится в обвинительном заключении. Один из ответчиков также использовал подарочные карты для «приобретения FinalCut Pro в магазине приложений "Компании А"». FinalCut Pro — это программное обеспечение для редактирования видео от Apple, которое стоит $299,99.

В общей сложности эти манипуляции привели к хищениям на миллионы долларов.

«В ходе этой схемы обвиняемый и сообщники пытались обманным путем получить более трех миллионов долларов США от продуктов и услуг компании A [Apple] посредством более чем двух десятков мошеннических заказов», — говорится в обвинительном заключении.

Анна Любавина