Jakarta –
Peneliti yang pernah membantu Apple mengidentifikasi celah keamanan justru memanfaatkan salah satu loophole untuk mencuri dari Apple. Aksi peneliti keamanan itu membuat produsen iPhone itu merugi jutaan dolar.
Noah Roskin-Frazee, peneliti keamanan dari ZeroClicks Lab, bekerjasama dengan peneliti lainnya bernama Keith Latteri untuk mengeksploitasi sistem Apple dan membawa kabur lebih dari USD 3 juta atau sekitar Rp 46 miliar lewat puluhan order palsu.
Jumlah yang dibawa kabur termasuk USD 2,5 juta dalam bentuk gift card dan lebih dari USD 100.000 dalam bentuk produk dan layanan. Skema penipuan ini berjalan dari Januari hingga Maret 2019.
Menurut laporan 404 Media, Roskin-Frazee menemukan celah keamanan di sistem backend Apple bernama Toolbox. Sistem ini digunakan untuk menahan pesanan, dan selama ditahan pesanan itu dapat diedit.
Roskin-Frazee dan Latteri disebut menggunakan serangan eskalasi untuk mengakses sistem ini. Pertama, mereka menggunakan alat untuk reset password untuk mengakses akun karyawan yang bekerja di Perusahaan B. Perusahaan itu diketahui sebagai penyedia layanan konsumen pihak ketiga untuk Apple.
Akun itu digunakan untuk mengakses akun lainnya di Perusahaan B, yang salah satunya memberikan akses kepada server VPN. Dari situ, mereka bisa mengakses sistem Toolbox Apple.
Setelah itu, mereka membuat order palsu menggunakan nama palsu, dan menggunakan sistem Toolbox untuk mengubah jumlah yang harus dibayar menjadi USD 0. Mereka juga menambahkan perangkat Apple ke dalam pesanan tersebut, seperti iPhone dan Mac, sehingga mereka bisa mendapatkan produk itu tanpa membayar biaya apapun.
Roskin-Frazee dan Latteri juga membuat pesanan palsu untuk gift card dan memperpanjang kontrak AppleCare selama dua tahun tanpa membayar. Nah, perpanjangan kontrak AppleCare ini yang membuat aksi mereka ketahuan karena salah satu dari Roskin-Frazee dan Latteri menggunakan nama aslinya dalam pesanan tersebut.
Padahal Apple sebelumnya sempat berterima kasih kepada Roskin-Frazee karena telah menemukan beberapa celah keamanan di macOS Sonoma. Ucapan terima kasih itu diberikan kurang dari minggu setelah Roskin-Frazee ditahan atas aksi penipuannya, seperti dikutip dari MacRumors, Kamis (15/2/2024).
Roskin-Frazee didakwa telah melakukan wire fraud, mail fraud, konspirasi melakukan wire fraud dan mail fraud, konspirasi untuk melakukan penipuan dan penyalahgunaan komputer, dan kerusakan yang disengaja terhadap komputer yang dilindungi.
Roskin-Frazee akan diminta untuk mengembalikan semua barang curiannya. Jika terbukti bersalah, ia terancam dijatuhi hukuman penjara lebih dari 20 tahun.
(vmp/fay)