En säkerhetsforskare som tidigare hjälpt Apple med att hitta buggar i sina system tycks ha hittat en bugg som innebar en för stor frestelse. Istället för att rapportera buggen till Apple så exploaterade han säkerhetshålet och stal presentkort och andra värden för närmare 2.5 miljoner dollar.

Säkerhetsforskaren, knuten till ZeroClicks Lab, har fått erkännanden av Apple för att ha identifierat sårbarheter i flera av Apples program. Nu har han gripits tillsammans med en medhjälpare för att ha tagit sig in i Apples system, via ett företag som har ett uppdrag att hjälpa Apple med kundsupport. Säkerhetsforskaren exploaterade en bugg i en del av systemet som kan användas för att återställa lösenord. Därefter stals ett konto tillhörande en anställd i ett av Apple anlitat företag.

Mannen misstänks för att ha stulit iPhones, Mac-datorer och presentkort för hela 2,5 miljoner dollar, tillsammans med en kumpan.

Sårbarhet

Enligt 404Media hittade mannen en sårbarhet i Toolbox, ett backend-system som Apple använder för att lägga beställningar i en kö. Det visade sig att beställningarna sedan kunde redigeras innan de processades av systemet. Gjorda beställningar ändrades både vad gäller innehåll och mottagare av varorna.

Duon inledde sina stölder i december 2018 och fortsatte stjäla produkter och värden fram till åtminstone mars 2019.

De två misstänks för att ha manipulerat beställningar, lagt till produkter som iPhone och Mac och ändrat kostnader till noll. De två misstänkta har även beställt presentkort som kan användas i Apples butiker eller säljas vidare. För att undkomma upptäckt så använde de falska namn och fick varorna leverade till andra adresser än de egna. Dock kunde de inte undanhålla sig från att förlänga Apple Care för sina produkter och även för familjemedlemmars Apple-produkter.

Tvist

En tvist i sammanhanget är att Apple gav säkerhetsforskaren ett erkännanden för ännu en hittad bugg – två veckor efter det att han gripits.