អ្នកស្រាវជ្រាវសុវត្ថិភាពបានរកឃើញភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីរបស់ Apple ។ដោយសារតែអ្នកស្រាវជ្រាវមិនបានរាយការណ៍ពីបញ្ហានេះទៅក្រុមហ៊ុន Cupertino ជនជាប់ចោទត្រូវបានចោទប្រកាន់ថា បានកេងចំណេញលើបញ្ហាដើម្បីឆបោកក្រុមហ៊ុនឱ្យផ្តល់នូវកាតប្រាក់រង្វាន់ (Gift Cards) និងផលិតផលដែលមានតម្លៃប្រមាណជា ២,៥លានដុល្លារ។ ជនជាប់ចោទ Noah Roskin-Frazee ធ្វើការនៅ ZeroClicks Lab ទទួលបានប្រាក់ពីរបាយការណ៍ CVE ចម្រុះ និងទទួលបានការថ្លែងអំណរគុណពីក្រុមហ៊ុន Apple សម្រាប់ការជួយដោះស្រាយលើបញ្ហាភាពងាយរងគ្រោះ Wifi។
អ្វីដែលមិនធម្មតានោះគឺថា ក្រុមហ៊ុនបានថ្លែងអំណរគុណចំពោះជនជាប់ចោទ បន្ទាប់ពីគាត់ត្រូវបានចាប់ខ្លួនពីបទបានឆបោកក្រុមហ៊ុន Apple រហូតដល់ ២,៥លានដុល្លារ។ ជនជាប់ចោទ Roskin-Frazee ត្រូវបានរាយការណ៍ថា បានរកឃើញភាពងាយរងគ្រោះនៅក្នុង Apple Backend System ដែលគេស្គាល់ថាជា Toolbox។ នេះត្រូវបានពណ៌នាថា ជាប្រព័ន្ធនៅក្នុងក្រុមហ៊ុន ដែលបានបញ្ជាឱ្យផ្អាក (Orders on Hold) ដោយក្នុងអំឡុងពេលនោះក្រុមហ៊ុនអាចកែសម្រួលបាន (Edited)។ ប្រព័ន្ធផ្សព្វផ្សាយ 404Media បានរាយការណ៍ថា ជនជាប់ចោទបានជំរុញឱ្យមានការវាយប្រហារ ដើម្បីចូលដំណើរការលើបញ្ហានេះ ដោយមានជំនួយពីអ្នកស្រាវជ្រាវ (Fellow Researcher) Keith Latteri។
ដំបូងពួកគេបានប្រើ Password Reset Tool ដើម្បីចូលដំណើរការគណនីបុគ្គលិករបស់ក្រុមហ៊ុន ដែលរៀបរាប់ថា ជាក្រុមហ៊ុន Company B ប៉ុន្តែជាក់ស្តែង ក្រុមហ៊ុនភាគីទីបីនោះគឺជាប្រតិបត្តិការសេវាកម្មជំនួយដល់អតិថិជិនក្រុមហ៊ុន Apple។ គណនីនោះត្រូវបានប្រើដើម្បីដំណើរការគណនីផ្សេងទៀតនៅក្នុងក្រុមហ៊ុនដដែល ដែលមានសិទ្ធិចូលប្រើ VPN Servers។ នេះគឺអ្វីដែលពួកគេត្រូវបានរាយការណ៍ថា អាចចូលប្រើ Toolbox System របស់ក្រុមហ៊ុន Apple បាន។ នៅក្នុងរបាយការណ៍បានរៀបរាប់ថា ពួកគេបានបញ្ជាទិញដោយប្រើឈ្មោះក្លែងក្លាយ បន្ទាប់មកប្រើ Toolbox ដើម្បីប្តូរចំនួនទឹកប្រាក់ដែលបានចំណាយទៅ 0$ (សូន្យដុល្លារ) ក៏ដូចជា ការ បញ្ជាទិញឧបករណ៍ផ្សេងៗបន្ថែមទៀត (ដូចជាទូរស័ព្ទ និងកុំព្យូទ័រយូរដៃ) ដោយមិនចាំបាច់បង់ប្រាក់។
ការចំណាយលើការបញ្ជាទិញផ្សេងទៀតត្រូវបានប្តូរទៅសូន្យទាំងអស់សម្រាប់ Gift Cards ដែលបន្ទាប់មកអាចត្រូវបានប្រើសម្រាប់ទិញពីហាង Apple ឬអាចលក់បន្តក្នុងតម្លៃមួយខ្ពស់។ អ្វីដែលមិនអាចពន្យល់បាននោះគឺថា ខណៈពេលដែលឈ្មោះក្លែងក្លាយ និងអាសយដ្ឋានដឹកជញ្ជូនត្រូវបានប្រើប្រាស់នោះ ជនជាប់ចោទម្នាក់ក្នុងចំណោមពីរនាក់បានប្រើប្រាស់ប្រព័ន្ធនេះ ដើម្បីបន្តកិច្ចសន្យា AppleCare Contract សម្រាប់ខ្លួនជាជនជាប់ចោទ និងក្រុមគ្រួសារជនជាប់ចោទ។ 404Media បានថ្លែងថា មេធាវីជនជាប់ចោទទាំងពីររូបពុំបានឆ្លើយតបចំពោះការស្នើសុំចម្លើយនោះទេ៕
https://9to5mac.com/2024/02/07/security-researcher-used-apple-systems-for-scam/
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៧ ខែកុម្ភៈ ឆ្នាំ២០២៤
