一位安全研究专家利用苹果系统漏洞，骗取了价值 250 万美元的 iPhone、Mac 和礼品卡。而在他被捕 2 周后，苹果在更新日志中特别感谢他反馈的漏洞。

网络安全专家 Noah Roskin-Frazee 隶属于 ZeroClicks 实验室，此前向苹果提交了多份 CVE 漏洞报告而多次受到苹果点名表彰。

Roskin-Frazee 在名为 Toolbox 的苹果后台系统中发现了一个漏洞。Toolbox 是一个公司搁置订单的系统，在此期间可以对订单进行编辑。

Roskin-Frazee 在另一位研究人员基思・拉特里（Keith Latteri）的协助下，先侵入了 "B 公司" 使用的密码重置工具，该公司与苹果公司签订了客户支持合同。

他成功入侵该公司的服务器后，通过将总金额降为 0 美元或在现有订单上添加免费项目的方式，下了十几个欺诈性订单。

他免费获得了电脑、手机和其他硬件，总价值约 10 万美元，但其中大部分是礼品卡。

Roskin-Frazee 被指控盗窃了 250 万美元（IT之家备注：当前约 1800 万元人民币）的苹果礼品卡，检察官称，大部分被盗物品已在第三方网站上转售。

不过，似乎没有人告诉苹果公司的安全团队，在 Roskin-Frazee 被捕两周后的 1 月 22 日，苹果公司在安全公告中对他表示感谢。IT之家附上截图如下：

本文转载自IT之家，转载目的在于传递更多信息，并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请联系IT之家通知我方删除，我方将在收到通知后第一时间删除内容！本文只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。