Sicherheitsforscher soll über interne Systeme Apple bestohlen haben
Noah R. wurde von Apple als Bug-Jäger gelobt. Doch der Mann soll vom iPhone-Konzern Millionen geklaut haben, so US-Ankläger.
(Bild: Shutterstock)
Der Vorfall liegt schon einige Wochen zurück: Im Januar wurde Medienberichten zufolge ein Sicherheitsexperte verhaftet, der Lücken in internen Apple-Systemen ausgenutzt haben soll, um mehrere Millionen US-Dollar abzuzocken. Das geht aus der mittlerweile veröffentlichten Anklage hervor. Darin heißt es, dass Noah R. gut 2,6 Millionen Dollar von Apple gestohlen haben soll. Laut Staatsanwaltschaft waren dies mindestens 2,5 Millionen Dollar in Form von Apple-Gutscheinkarten, die sich für unterschiedliche Güter des Konzerns (physisch wie digital) nutzen lassen, sowie 100.000 Dollar in Form von nicht näher ausgeführten "Produkten und Dienstleistungen". R. drohen nun Jahre im Gefängnis.
Öffentliches Lob für Sicherheitsforscher
Bemerkenswert wird der Fall dadurch, dass R. von Apple zuvor ein öffentliches Lob erhalten hatte. In macOS Sonoma 14.2 stecken zwei gefixte Lücken, deren Hintergründe von dem Sicherheitsforscher – zusammen mit einer weiteren Person ("Prof. J.") – stammten. Auch einen dritten Bug im Bereich WLAN, zu dem Apple keine näheren Angaben machte, meldete R. "Wir möchten uns bei Noah R. und Prof. J. (ZeroClicks.ai Lab) für ihre Unterstützung bedanken", schreibt der Konzern dazu. Solche Credits in Apples sicherheitsrelevanten Release Notes haben in der Sicherheitsszene großes Gewicht.
Geholfen hat R. das allerdings nichts, es klickten trotzdem die Handschellen. Zusammen mit einem Komplizen soll er die entwendeten Gutscheinkarten unter anderem dazu verwendet haben, Final Cut Pro im App Store von Apple zu kaufen – die Firma wird in der Anklage als "Company A" bezeichnet. Die Betrugs- und Diebstahltaten sollen seit 2019 erfolgt sein. Dabei machte sich R. Kenntnisse über Apples interne Systeme sowie Insiderwissen zunutze.
Apples interne "Toolbox"
R. soll zusammen mit seinem Komplizen zunächst Zugang zu Systemen einer Apple-Partnerfirma, die Kundensupport leistet, erhalten haben. Dies erfolgte über ein Passwortrücksetzungswerkzeug. Dann erhielt er weitere Accounts und Zugang zum VPN des Unternehmens. Von da aus ging es dann auf Apple-Rechner. Hier soll R. dann das interne Programm "Toolbox" verwendet haben, um Kundenbestellungen nachträglich zu editieren. Dabei wurden deren Kosten auf null gesetzt. Auch verlängerten R. und sein Komplize Dienstleistungsverträge (offenbar AppleCare) kostenlos für Familienmitglieder.
Apple ist – wie viele andere Großkonzerne – immer wieder Opfer betrügerischer Maschen. Dabei drohen teils harsche Strafen. So wurden zwei chinesische Staatsbürger gerade zu bis zu 20 Jahren Gefängnis verurteilt, weil sie Fake-iPhones gegen echte hatten eintauschen lassen – auf Kosten von Apple. Dies soll zwischen 2017 und 2019 erfolgt sein, beide Verurteilten kamen auf mehr als 5000 Geräte in zwei Jahren. Wie hoch die Strafe tatsächlich ausfallen wird, ist noch unklar.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
