ИБ-эксперт помог Apple найти уязвимость, но сам ею и воспользовался
Эксперт по кибербезопасности и, по совместительству, пентестер Ной Роскин-Фрейзи известен тем, что в 2023 году помог компании Apple найти и исправить опасную уязвимость в системе. Компания не раз выражала благодарность специалисту за помощь в поисках проблем безопасности и их устранении.
Однако, недавно стало известно, что Роскин-Фрейзи самостоятельно эксплуатировал одну из найденных уязвимостей для оформления заказов на сайте компании с изменением стоимости на $0. Отмечается, что за всё время белый хакер бесплатно получил товаров на сумму $2,5 миллиона.
Сначала специалист смог скомпрометировать аккаунт сотрудника службы технической поддержки, после добрался до VPN-сервисов, а крайней точкой стала компрометация сервиса Tollbox – системы для работы с заказами. С его помощью Роскин-Фрейзи мог оформлять заказы, а после ставить их на паузу и менять стоимость на $0.
Теперь исследователю из компании ZeroClicks Lab грозит конфискация всего незаконно нажитого имущества и 20 лет тюрьмы.