Başlıkta okuduğunuz şaka değil. Gerçekten Noah Roskin-Frazee isimli bir güvenlik araştırmacısı markadan aynı anda hem övgü aldı hem de arka taraftan soydu. Peki 2.5 milyon dolar değerindeki soygunu nasıl gerçekleştirdi? Apple bu durumu nasıl fark etmedi? İşte detaylar…
Apple’a 2.5 milyon dolar zarar veren soygun nasıl yapıldı?
ZeroClicks Lab’a bağlı bir güvenlik araştırmacısı olan Noah Roskin-Frazee, aslında yazılım açıklarını tespit eden ve markalar için bu açıkları kapatan bir araştırmacı. İşi gereği şirketlerin sistemlerine giren Roskin-Frazee, bulduğu açıkları markalara bildiriyor ve bunların karşılığında para, cihaz, övgü, takdir belgeleri vb. ödüller alıyor.
Tabi burada Roskin-Frazee’nin elinde bulunan büyük bir güç de var. Zira Apple gibi büyük bir şirketin sistemlerini kontrol ettiğiniz için sistemde gezerken kimse sizden şüphelenmez. Test etme bahanesiyle markanın, izin verilen kadarıyla, tüm verilerine ve satış işlemlerini takip edebilmek bir soygun yapabilmek için en güçlü silah olabilir.
Roskin-Frazee isimli araştırmacı da içindeki kötü ruha yenik düşmüş olmalı. Zira kendisi Apple’ın siparişleri beklemeye almak için kullandığı bir arka uç sistemi olan Toolbox’ta bir güvenlik açığı buldu. Bu açık sayesindeyken siparişler beklemedeyken de düzenlenebiliyordu. Yani bir müşteri Apple Watch sipariş ediyor ve bu talep markanın sisteminde beklemeye alınıyor. Roskin-Frazee bu esnada sipariş bilgilerini tamamıyla değiştirebiliyor.
Roskin-Frazee suç ortağı Keith Latteri ile birlikte yapılabilecek en iyi planlamayı yaptılar. Ardından Apple’ın müşteri destek sistemini takip eden üçüncü taraf bir şirketin çalışan hesabına erişim istediler. Parola sıfırlama aracı kullanılarak yapılan işlem ile ikili kendilerine bir destek hattı hesabı edinmiş oldu.
Bu hesabı ele geçirmelerinin ardından dikkat çekmeyecek şekilde sahte siparişler oluşturmaya başladılar. Kendilerine yeni iPhone’lar, MacBook’lar sipariş edip ellerindeki hesap sayesinde maliyeti sıfır gösteriyorlardı. Bu siparişleri sahte isimler ve adresler ile teslim alıyorlardı. 2018 yılından 2019 yılına kadar bu şekilde fiziksel hediye kartları, ürünler vb. birçok ürün satın aldılar.
Olayın fark edilmesiyle birlikte polis inceleme başlattı. Dava henüz sonuçlanmadı ikili dışında farklı isimlerin de olaya karıştığı düşünülüyor. Apple’a uğratılan zarar ise toplamda 2.5 milyon dolara yakın bir değer.
{{user}} {{datetime}}
{{text}}