Einem Sicherheitsexperten, der zuvor für seine hilfreichen Beiträge zur Behebung kritischer Sicherheitslücken Anerkennung fand, konnte anscheinend einer Schwachstelle in Apples Zahlungssysteme nicht widerstehen und entschied sich dagegen, diese an Apple zu berichten. Stattdessen wählte er den Weg, das Loch im System zu seinem Vorteil zu nutzen, um sich selbst Geschenkkarten in Millionenhöhe auszustellen. Dieses Handeln führte zur Verhaftung des Forschers.
Der Forscher, bekannt als Noah Roskin-Frazee von ZeroClicks Lab, nutzte eine Schwachstelle in einem als Toolbox bezeichneten System. Dieses wird anscheinend zur Korrektur von Abrechnungen genutzt. Zusammen mit einem weiteren Sicherheitsexperten, Keith Latteri, tätigte er zahlreiche Bestellungen unter Pseudonymen, bei denen er die Preise auf null setzte. Laut Medienberichten wurden diese Operationen über das Konto eines Subunternehmers abgewickelt, der für Apple Serviceleistungen erbringt.
Betrug in Millionenhöhe
Auf diese Weise wurden scheinbar zahllose Apple-Geschenkkarten angefordert und in der Abrechnung ebenfalls mit einem Preis von null Dollar ausgewiesen.
Durch diese Aktionen entstand ein Schaden, der sich auf etwa 2,5 Millionen Dollar beläuft. Ironischerweise erschien der Name von Noah Roskin-Frazee noch Wochen nach seiner Verhaftung in Apples Sicherheitsdokumentation, in der dem Experten für das Aufdecken einer Schwachstelle in der Wi-Fi-Implementation der Apple-Produkte gedankt wurde – ein Problem, das mittlerweile behoben sein dürfte.
Es bleibt abzuwarten, ob dieser Vorfall Apple dazu veranlassen wird, die Auslobungen für die Entdeckung und Meldung von Sicherheitslücken zu erhöhen. Diese wurden von Experten jahrelang einhellig als zu gering kritisiert.