Noah Roskin-Frazee, một kỹ sư từng nhiều lần được Apple cảm ơn vì đã hỗ trợ bảo mật, bị phát hiện đã khai thác lỗ hổng để đánh cắp hàng triệu USD của công ty.
Noah Roskin-Frazee, kỹ sư bảo mật tại ZeroClicks.ai Labs, đã bị bắt vào tháng 1 vì vi phạm an ninh mạng. Hành vi của Frazee bắt đầu từ năm 2019, nhưng thông tin về cá nhân này không được cộng đồng biết đến rộng rãi cho đến khi Court Watch, đơn vị độc lập chuyên phân tích hồ sơ vụ án, đưa ra thông báo vào ngày 8/2.
Cụ thể, Frazee và đồng bọn đã sử dụng các công cụ đặt lại mật khẩu để chiếm quyền kiểm soát tài khoản của nhân viên và bí mật truy cập vào máy chủ VPN thuộc “Công ty B” đối tác của Apple. Sau đó, băng nhóm này lợi dụng lỗ hổng trong hệ thống hỗ trợ bán hàng Toolbox của Apple để thực hiện các đơn hàng lừa đảo, chỉnh sửa thông tin dịch vụ và thu lợi bất hợp pháp.
Logo Apple tại một cửa hàng công ty ở Seoul, Hàn Quốc. hình ảnh: Faide
Trong vòng hai tháng, nhóm của Frazee đã giảm giá trị của nhiều đơn đặt hàng xuống 0, giúp họ có thể mua iPhone, MacBook và iPad miễn phí. Tin tặc cũng gia hạn miễn phí hợp đồng AppleCare và một số dịch vụ cho bản thân và gia đình. Apple bị thiệt hại tổng cộng hơn 3 triệu USD, bao gồm 2,5 triệu USD thẻ quà tặng bị mất và 100.000 USD về sản phẩm và dịch vụ bị mất.
dựa theo tin đồn của MikeFrazee sau đó bị buộc tội gian lận, lừa đảo qua đường dây, làm hỏng hệ thống máy tính được bảo vệ, tất cả tài sản bị đánh cắp đều bị tịch thu và phải đối mặt với án tù 20 năm.
Điều đáng chú ý là hai tuần sau khi kỹ sư này bị bắt, trang web của Apple vẫn đăng bài viết cảm ơn Frazee vì đã giúp tìm ra một số lỗi trên hệ điều hành MacOS Sonoma.
Apple vẫn chưa bình luận.
Đây là một trong số ít trường hợp hệ thống của Apple bị hack và khai thác. Trước đó, công ty đã khen thưởng rất nhiều cho các hacker mũ trắng vì đã sớm phát hiện ra các lỗ hổng bảo mật nhằm giúp tăng cường khả năng bảo vệ cho nhiều loại sản phẩm và dịch vụ. Apple cũng thường xuyên tung ra các phiên bản iPhone đặc biệt thiếu các lớp bảo mật nhất định để các nhóm chuyên gia độc lập có thể nghiên cứu sâu hơn về hệ điều hành và hỗ trợ công ty phát triển các biện pháp bảo vệ cần thiết cho sản phẩm mới của mình.
