Jakarta, 16/2 (Batakpost.com) – Seorang peneliti keamanan yang sebelumnya membantu Apple dalam mengidentifikasi celah keamanan, justru memanfaatkan kelemahan tersebut untuk mencuri dari perusahaan teknologi raksasa tersebut. Noah Roskin-Frazee, seorang peneliti keamanan dari ZeroClicks Lab, bekerja sama dengan Keith Latteri untuk mengeksploitasi sistem Apple dan berhasil mencuri lebih dari USD 3 juta atau sekitar Rp 46 miliar melalui puluhan pesanan palsu.
Jumlah yang berhasil dicuri termasuk USD 2,5 juta dalam bentuk kartu hadiah (gift card) dan lebih dari USD 100.000 dalam bentuk produk dan layanan. Skema penipuan ini dilaporkan berlangsung dari Januari hingga Maret 2019.
Berdasarkan laporan 404 Media, Roskin-Frazee menemukan celah keamanan di sistem backend Apple yang dikenal sebagai Toolbox. Sistem ini bertugas untuk menahan pesanan, dan selama proses penahanan, pesanan tersebut dapat diedit.
Roskin-Frazee dan Latteri menggunakan serangan eskalasi untuk mengakses sistem ini. Pertama, mereka menggunakan alat untuk mereset password agar dapat mengakses akun karyawan di Perusahaan B, yang merupakan penyedia layanan konsumen pihak ketiga untuk Apple. Dari akun tersebut, mereka bisa masuk ke akun lainnya di Perusahaan B, salah satunya memberikan akses ke server VPN yang digunakan oleh Apple. Dari situ, mereka bisa mengakses sistem Toolbox Apple.
Setelah berhasil masuk, mereka membuat pesanan palsu menggunakan nama palsu, dan menggunakan sistem Toolbox untuk mengubah jumlah yang harus dibayar menjadi USD 0. Mereka juga menambahkan perangkat Apple ke dalam pesanan tersebut, seperti iPhone dan Mac, sehingga mereka bisa mendapatkan produk tersebut tanpa membayar biaya apapun.
Roskin-Frazee dan Latteri juga memesan kartu hadiah palsu dan memperpanjang kontrak AppleCare selama dua tahun tanpa membayar. Namun, tindakan memperpanjang kontrak AppleCare ini yang akhirnya membuat aksi mereka terbongkar karena salah satu dari mereka menggunakan nama aslinya dalam pesanan tersebut.
Sementara sebelumnya, Apple telah mengucapkan terima kasih kepada Roskin-Frazee karena telah membantu mengidentifikasi beberapa celah keamanan di macOS Sonoma. Ucapan terima kasih itu diberikan kurang dari seminggu setelah Roskin-Frazee ditahan atas aksi penipuannya, seperti yang dilansir dari MacRumors, Kamis (15/2/2024).
Roskin-Frazee dihadapkan pada sejumlah tuduhan, termasuk wire fraud, mail fraud, konspirasi melakukan wire fraud dan mail fraud, konspirasi untuk melakukan penipuan dan penyalahgunaan komputer, serta kerusakan yang disengaja terhadap komputer yang dilindungi.
Roskin-Frazee akan diminta untuk mengembalikan semua barang yang dicurinya. Jika terbukti bersalah, ia menghadapi risiko hukuman penjara lebih dari 20 tahun. (int)
