Geschenkkarten und Hardware geklaut
Sicherheitsforscher erleichtert Apple um 2,5 Millionen Dollar
Apple wurde offenbar von einem Hacker um Geschenkkarten und Hardware im Wert von rund 2,5 Millionen Dollar erleichtert. Besonders pikant ist hierbei die Tatsache, dass der Angeklagte sich zuvor einen Namen als Sicherheitsforscher gemacht hat und Apple ihm erst Ende Januar im Zusammenhang mit der Veröffentlichung von macOS 14.2 dafür gedankt hat, dass er eine mit diesem Update behobene Schwachstelle gemeldet hat. Zu diesem Zeitpunkt war Noah Roskin-Frazee allerdings schon zwei Wochen in Haft. Offenbar konnte er den Verlockungen seiner neuesten Entdeckung dann doch nicht widerstehen.
Das Onlinemagazin 404 Media hat den Fall recherchiert und öffentlich gemacht. Aus Gerichtsakten geht hervor, dass Roskin-Frazee gemeinsam mit einem weiteren Angeklagten eine Schwachstelle in einem internen Softwaretool ausgenutzt hat, um auf betrügerische Weise Geschenkkarten im Wert von rund 2,5 Millionen Dollar und darüber hinaus noch Hardware und weitere Dienstleistungen für mehr als 100.000 Dollar zu erbeuten.
Apples „Dankeschön“ aus dem Januar
Apple werde zwar in den Akten des Gerichts nicht namentlich genannt, sondern nur als „Company A“ aufgeführt, doch passen alle sonstigen Details auf den Mac- und iPhone-Hersteller. So wird erwähnt, dass die Firmenzentrale von „Company A“ in Cupertino sitzt und sich das Unternehmen auf die Entwicklung, Produktion und den Vertrieb von Computersoftware, Unterhaltungselektronik, Computern und Dienstleistungen spezialisiert habe. Zudem ist noch davon die Rede, dass die Angeklagten mithilfe von Geschenkkarten FinalCut Pro „im App Store von Company A“ gekauft haben.
Auszug aus den Gerichtsakten (Screenshot: 404 Media)
Betrug lief über internen Apple-Server
Zugriff auf den internen Apple-Server haben die Angeklagten offenbar über einen für Apple tätigen Kundendienstanbieter erhalten. Dem Bericht zufolge handelt es sich dabei um eine „Toolbox“ genannte Anwendung, mit deren Hilfe sich laufende Kundenbestellungen anhalten und ändern lassen.
Der Betrug lief dann nach einem denkbar einfachen Schema ab. Die Angeklagten haben Bestellungen dahingehend geändert, dass sie beispielsweise den Gesamtpreis auf Null gesetzt oder auch nachträglich noch Produkte hinzugefügt haben, ohne dass diese berechnet wurden.
Um nicht entdeckt zu werden, hatten die Betrüger unter anderem falsche Namen und Anschriften genutzt und sind über Server in Indien und Costa Rica in das Apple-System eingedrungen. Angesichts dieser Vorsichtsmaßnahmen kann man nur den Kopf darüber schütteln, dass sie auf diese Weise auch einen AppleCare-Vertrag verlängert haben, der auf einen der beiden Angeklagten und seine Familie gelaufen ist. Es ist anzunehmen, dass dieser Umstand die Überführung der beiden enorm erleichtert hat.
Ich habe den Artikel mit einer Mischung aus Bewunderung und Entrüstung gelesen…
Gier frisst Hirn. Nur weil die noch ein paar mehr Dollar bei der Versicherung sparen wollten wurden die geschnappt :D
Zum Glück wurde Company A von dem Gericht verschleiert :D
Hallo! Ich bin Lisa S. Und sehe das genau so, wie du.
Nein, sagen wir lieber L. Simpson.
Richtig geil! Sogar noch mit AppleCare Vertrag! Ich bin begeistert!
„Schwachstelle in einem internen Softwaretool“ Ich bin mir nicht sicher ob die Bezeichnung richtig ist. An sich ist es ja keine Schwachstelle, das ist eine stink normale Funktion die es in jeder buchhaltungssoftware gibt. Prozessual bei der Menge an Anfragen die da weltweit täglich rein kommen auch schwer zu beheben (Freigabe durch Vorgesetzten oder ein spezielles Team würde wohl zu einer Kostensteigerung und Laufzeitverlängerung führen die den Aufwand nicht wert ist), aber möglich. Von daher würde ich eher von einer Schwachstelle im Prozess sprechen. Aber das ist haarspalterei :D
wenn der die witer verkauft hat werden die Konten der Käufer auch gesperrt, auch wenn die nichts von dem Betrug wussten
Ist das so?
Nein, damit ist nicht zu rechnen. Dann würde es Läden wie ENEBA und so nicht geben.
Doch das ist so. Vor vielen Jahren hatte ich ein Konto in bei Apple in den USA. Das habe ich mit iTunes Karten die für die USA gefüttert. Dann habe ich mal eine Karte bei Ebay gekauft die der Verkäufer mit einer mit einer geklauten Visa Karte bezahlt hat. Irgend wann ist der Aufgeflogen. Dann hatte die Kette zugeschlagen. Zum Schluss in der Kette war ich. Damit war dann meine Apple ID gesperrt und ich konnte keine Updates mehr bekommen und mein Restguthaben war auch weg. Das Konto blieb gesperrt. Ist aber schon 10 Jahre her
Plündern und dann unauffällig dem in die Schuhe schieben, der kürzlich mit dem Namen in den Security News stand.
Haha, Apple-Care registriert…. da hat wohl einer bei der Aktion zu viel „geraucht“.