In einem aktuellen Fall in den USA wird einem legitim erscheinenden Sicherheitsforscher vorgeworfen, dass er ein Unternehmen aus Cupertino, Kalifornien um mehrere Millionen US-Dollar betrogen haben soll. Gleichzeitig wurde ein weiterer Mitverschwörer angeklagt. Wie 404 Media berichtet, soll er im Rahmen von mehr als zwei Dutzend Bestellungen versucht haben, mehr als drei Millionen US-Dollar zu ergaunern. Nicht alle Bestellungen waren erfolgreich. Am Ende sollen es laut der Anklage rund 2,5 Millionen US-Dollar in Geschenkkarten gewesen sein. Hinzu kommen mehr als 100.000 US-Dollar in „Produkten und Dienstleistungen“. Wenige Tage nach der Festnahme bedankte sich Apple dann bei einem der nun Angeklagten.
Apple dankt Sicherheitsforscher, der mehrere Millionen US-Dollar ergattert haben soll
Auf den ersten Blick wird aus der Anklage nicht klar, dass es sich um Apple handelt. Es ist lediglich die Rede von „Company A“ mit Sitz in Cupertino, der Heimat des iPhone-Herstellers. Erst durch weitere Erklärungen in der Klageschrift wird deutlich, um wen es sich handelt. So ist unter anderem die Rede davon, dass die Angeklagten Geschenkkarten genutzt haben sollen, um Final Cut Pro aus dem App-Store von dieser „Company A“ zu kaufen. Der einzige Weg, diese Software online zu kaufen, ist durch Apples App Store.
Zu den Angeklagten gehört laut den Dokumenten des Gerichts Noah Roskin-Frazee aus San Francisco. Er erscheint als legitimer Sicherheitsforscher und wurde als solcher in den Support-Dokumenten von Apple bereits vor der Festnahme erwähnt. Einige Tage nach dieser sprach das Unternehmen Roskin-Frazee dann sogar Ende Januar 2024 eine „Zusätzliche Danksagung“ für das Auffinden einer Lücke aus.
Den Betrug in Millionenhöhe soll durch einen Missbrauch von Apples Bestellsystem gelungen sein. Den Angeklagten wird vorgeworfen, dass sie sich über eine Anwendung zum Zurücksetzen von Passwörtern bei einer nicht genauer genannten „Company B“ Zugang zu einem Konto eines Nutzers verschafft haben. Dieses zweite Unternehmen half Apple bei der Kundenunterstützung. Mit diesem Konto gelang es den Angeklagten dann angeblich Zugriff auf das VPN der Partnerfirma zu erhalten.
Dies wiederum ermöglichte den Sprung auf Apples Systeme. Dort gibt es eine schlicht „Toolbox“ bezeichnete Anwendung, die es dem Unternehmen erlaubt, Bestellungen zu pausieren und zu bearbeiten. Der Betrug begann hier, indem die Angeklagten angeblich den Wert von Bestellungen auf Null setzten und dann Geräte wie Smartphones oder Laptops hinzufügten. In einem Fall sollen auch Support-Verträge kostenlos um zwei Jahre verlängert worden sein, die die Familie von einem der Angeklagten abgeschlossen hatten.
Die Masche der Betrüger soll im Dezember 2018 begonnen haben und bis mindestens März 2019 aktiv gewesen sein. Auf eine Anfrage von 404 Media gab es von Apple keine Reaktion.
