專家“零元購”騙取 250 萬美元 iPhone、禮券等被捕，蘋果兩周后感謝其協(xié)助報告漏洞

IT之家 2 月 8 日消息，一位安全研究專家利用蘋果系統(tǒng)漏洞，騙取了價值 250 萬美元的 iPhone、Mac 和禮品卡。而在他被捕 2 周后，蘋果在更新日志中特別感謝他反饋的漏洞。

網(wǎng)絡安全專家 Noah Roskin-Frazee 隸屬于 ZeroClicks 實驗室，此前向蘋果提交了多份 CVE 漏洞報告而多次受到蘋果點名表彰。

Roskin-Frazee 在名為 Toolbox 的蘋果后臺系統(tǒng)中發(fā)現(xiàn)了一個漏洞。Toolbox 是一個公司擱置訂單的系統(tǒng)，在此期間可以對訂單進行編輯。

Roskin-Frazee 在另一位研究人員基思?拉特里（Keith Latteri）的協(xié)助下，先侵入了 "B 公司" 使用的密碼重置工具，該公司與蘋果公司簽訂了客戶支持合同。

他成功入侵該公司的服務器后，通過將總金額降為 0 美元或在現(xiàn)有訂單上添加免費項目的方式，下了十幾個欺詐性訂單。

他免費獲得了電腦、手機和其他硬件，總價值約 10 萬美元，但其中大部分是禮品卡。

Roskin-Frazee 被指控盜竊了 250 萬美元（IT之家備注：當前約 1800 萬元人民幣）的蘋果禮品卡，檢察官稱，大部分被盜物品已在第三方網(wǎng)站上轉(zhuǎn)售。

不過，似乎沒有人告訴蘋果公司的安全團隊，在 Roskin-Frazee 被捕兩周后的 1 月 22 日，蘋果公司在安全公告中對他表示感謝。IT之家附上截圖如下：

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。