安全研究人员涉嫌利用苹果内部销售系统窃取数百万美元

据404Media报道，一名向苹果公司报告漏洞的安全研究人员因诈骗苹果公司数百万美元而于今年1月被捕。研究人员诺亚-罗斯金-弗拉泽（NoahRoskin-Frazee）被指控与一名同谋通过二十多笔欺诈性订单获得了300多万美元的产品和服务。其中包括约250万美元的礼品卡和超过10万美元的"产品和服务"。

虽然法庭记录中没有明确指出苹果公司的名字，但一家未具名的"A公司"位于加利福尼亚州库比蒂诺，显然就是苹果公司。法庭提到，其中一名罪犯使用礼品卡"在A公司的AppStore购买FinalCutPro"，而苹果公司是唯一一家销售该软件的公司。

2019年，Frazee和他的同伙使用密码重置工具访问了一个属于未具名"B公司"的员工账户，该公司为苹果公司提供客户支持。通过该账户，Frazee获得了更多的员工凭证，并访问了B公司的VPN服务器。Frazee从那里进入了苹果公司的系统，为苹果产品下了欺诈性订单。

他使用了苹果公司的"工具箱"程序，该程序可用于在订单下达后对订单进行编辑，他将订单价值改为零，在订单中添加产品，并延长了AppleCare合同。他在2019年1月至3月期间滥用了苹果公司的程序。

起诉书还说，被告远程控制位于印度和哥斯达黎加的电脑是骗局的一部分。起诉书还说，骗局本身涉及将订单货币价值改为零、在现有订单中无偿添加产品（如手机和笔记本电脑）以及延长现有服务合同。其中包括将与其中一名被告及其家人有关的客户服务合同延长两年而不付款。

苹果公司在1月份的一份支持文件中感谢弗雷泽发现了macOSSonoma中的几个漏洞，而这份文件是在他被捕不到两周后发布的。"我们要感谢诺亚-罗斯金-弗拉泽和J.教授（ZeroClicks.ai实验室）的协助，"苹果在提到一个Wi-Fi漏洞时这样写道。

Frazee被控犯有电信诈骗、邮件诈骗、共谋电信诈骗和邮件诈骗、共谋计算机诈骗和滥用以及故意损坏受保护计算机罪。他将被要求没收所有赃物，如果罪名成立，他可能被判处20年以上监禁。