Как Иван Тодоров плати $ 20 000, за да вземе франчайза TAD Group

Всички служители напуснали

Антимафиоти откриха и голям теч на лични данни от няколко застрахователни компании

20 000 долара за едното име, наемане на младеж, пробил системата на образователното министерство, хакване на най-големия мейл доставчик у нас, без той да знае, търсене на кадри в LinkedIn, бодване на флашка на разследваща полицайка и източване на бази данни от НАП. Това са само част от “подвизите”, сътворени от TAD Group. Фирмата е на 3 години и макар ударът срещу приходната агенция да я направи известна по всички грешни причини, историята на компанията и преди това е осеяна с приключения в тъмните дебри на интернет.

Тя е основана от варненеца Иван Тодоров. Той няма практически опит в киберсигурността, макар и да е с подобна специалност - “Компютърни технологии, мрежи и администрация”. Има и множество сертификати за киберсигурност и менажиране на проекти. Варненецът обаче е бизнесмен. Има нюх и притежава над 30 компании. Силата му е във франчайзинга - той е представител на верига ресторанти за сандвичи за цяла Източна Европа.

Може би затова решава да комбинира образованието си с натрупания опит във франчайзинга. Проучва пазара за киберсигурност и открива TAD Group. Компанията е нова - основана е през 2014 г. в Нюпорт Бийч, САЩ. Моделът е уникален - таксата е 20 хил. долара, с възможност за

100%

възстановяване

на вложената

сума след девет

месеца,

когато заложените задачи са постигнати. Целта на американците е възвърнатата инвестиция да бъде вложена в маркетинг и разпознаваемост на марката. Старо куче в занаята, Тодоров се хвърля на шпагат с двата крака напред като защитник, който знае, че няма видео повторения.

Годината е 2016-а. Компанията предлага тестове и обучения по информационна сигурност, разследване на инциденти, консултантски услуги, помощ по GDPR изискванията към организациите и анализ на мобилните приложения, както и системи за управление на медийно съдържание. Сред клиентите личат имена на национална телевизия, мобилен оператор, верига бензиностанции и интернет доставчик. Поне така би я описал не особено талантлив пиар.

Ако пък се съберете със скучния счетоводител, ще ви уведоми, че за 2018 г. компанията има приходи от 214 хил. лв. Това е над четирикратно увеличение спрямо 2017 г., когато са били 49 хил. лв. Печалбата е минимална - 8 хил. лв. Заетите и през двете пълни години на работа в България са шестима служители.

Ние обаче не сме пиари, нито скучни счетоводители, а журналисти. Задаваме въпроси, за да ви разкажем историята зад скучните данни. А при TAD Group данни да искаш - от тези на НАП до наемането на хора. Едва година след като е взел франчайзинга, Иван Тодоров гледа телевизия. Попада на репортаж за младеж, още

ученик, който

успял да хакне

Министерството

на образованието

и науката

Вместо да си напише оценки обаче, Кристиян Бойков от Пловдив уведомил институцията. Тя не му отвърнала, а той не се отказал - отишъл в телевизията. Компютърният специалист сам потърсил предаването, след като подал информацията в МОН, но повече от месец никой не се свързал с него. След като се разбира за пробива, от МОН го канят да участва в изграждането на системата.

Това обаче не е единствената покана за Кристиян. Иван е впечатлен и лично го вика в TAD Group. Симпатията е взаимна и младежът е нает. Пловдивчанинът се вписва добре.

Веднага почва да общува във форум, създаден от компанията - xaker.bg. В началото само чете, но по-късно и пише.

Пише отпуснато, хвали се, че е “боднал” разследваща полицайка. Не като в повечето мъжки фантазии с жени в униформи обаче.

“Аз имах възможността да “бодна” keylogger флашчица на една разследваща компютъра, който беше XP... П....а отиде до другия офис да вземе един документ.” С тази програма може да разбере всички пароли на жената.

Малко по-късно Kpuccc, както се подписва младежът, решава да разкаже във форума “Как да свием ЕГН-та” и за други свои подвизи.

“Идеята, която ми хрумна, е, че ако знаем рождената дата на дадено лице, със съвсем малки усилия може да намерим негов ЕГН, като генерираме ЕГН-то на всички “потенциални” хора, които са се родили на същия ден, и започнем да ги въвеждаме ръчно в някой от регистрите и видим дали съответства на лицето, което търсим. Имаме две опции: Търговски регистър и Здравноосигурителен регистър на НАП. За да генерирате ЕГН-тата, може да използвате кода, който пресъздава алгоритъма, или да използвате вече компилиран... В някои от следващите теми мога да ви покажа как може да си поиграете с на някой човек живота благодарение на това, което ви показах днес”.

Дали уменията му са били на най-доброто ниво, не е ясно. Един от контрагентите на фирмата обаче се отказва от тях. “Заради некадърност”, казва важен човек в компанията, която е водещият телеком у нас. “Не са ни изнудвали, нито хаквали, преди да ги наемем. Сами разбирате, че ако беше така, нямаше да посмеем да ги изгоним”, обяснява мъжът, чиято визитка е внушителна.

Впечатлен от Бойков, Тодоров продължава да търси кадри. Обръща се към LinkedIn. “Здравей. Извинявам се за безпокойството. Тъй като в момента сме в етап на набиране на кадри, реших, че може да имате интерес за работа в TAD Group. От профила ви става ясно, че имате опит като пенетрейшън тестър (пробиване на сайтове б.а.)”, пише Тодоров.

Потърсеният обаче е непоколебим. Отблъсква атаката като Джорджо Киелини срещу “Барселона”, без да се впечатли и за секунда от опитите за трикови отигравания на Лео Меси, Суарез и Неймар. В случая - последвалите комплименти от Тодоров. Месецът е март.

Той вече е видял как през януари и февруари

TAD Group

два пъти хаква

един от

най-големите

доставчици на

мейл услуги

у нас. Без негово знание.

При първата е използван методът крос-сайт скриптинг (XSS). При него се вкарва JavaScript код директно в приложението, без той да бъде валидиран. Когато жертвата отвори съответната страница, кодът дава възможност на атакуващия да се сдобие с чувствителни бисквитки и други данни. Така са изтекли и данните на хората. От TAD Group уведомили хакнатата компания. Тя не ги наела, а сама отстранила проблема. Така спряла възможността за още такива течове, но изтеглените данни можело да бъдат ползвани.

Дали с тях, или не, но от TAD Group пак ударили компанията. Този път използвали уязвимостта на сайта към Man-In-The-Middle (“Човек по средата”) атаки. При нея хакерът може да прехване трафика на жертвата и дори да подмени съдържанието на разменено писмо. Така например може да смени банковата сметка преди плащане. Подобни атаки често са насочени срещу по-големия бизнес.

2 фирми от топ 100 у нас олекнаха с над 1 млн. евро при такива удари. И за това хакване от TAD Group са уведомили едната компания, но едва впоследствие.

Действията си компанията представила като част от започнатата кампания за подпомагане на бизнеса да подсигури базите си данни и личната информация на потребителите си, преди те да са се превърнали в хакерска мишена.

Какво прави Кристиян по това време - има “домашни”. Поне така се разбира от служебния му компютър. Когато

не е зает с тях

обаче, играе

компютърни

игри

Именно това ще му изиграе лоша шега и ще потъне като италианския футболен средняк “интер” (Милано) още в средата на сезона.

Когато данните от НАП изтичат на 15 юли всички смятат, че ударът е направен през операционната система Linux. Ударена е услугата за възстановяване на ДДС от чужбина. Ползвана е SQL инжекция, за да се вземат базите данни. SQL инжекциите обикновено са 1 ред код, написан на SQL (компютърен език за структурирани запитвания - б.а.).

Въпросният код се пуска в някое празно поле за дадена заявка (дори търсачка върши работа). Това я чупи и тя показва колоните и редовете на дадена база данни. А когато имаш имената на тези колони, лесно ги добавяш в нова SQL инжекция и това ти изплюва цялата база с тези идентификатори.

Едва след два дни отдел “Киберсигурност” на ГДБОП показва, че не се лови на руската връзка в мейлите, а търси улики. Намира ги в един файл. Следата е в документа DEC73_DETAILS. В него има повече от 300 000 записа за доходите на различни хора. Самите данни изглеждат така: DESKTOP-NSTGGRP/ Kpuccc,,11.05.2019 11:49, file:///C:/Users/ Kpuccc/AppData/ Roaming/LibreOffice/4.

Kpuccc е името на компютъра на Бойков. Надигат се гласовете, че файлът е отворен с Windows, а хакерите ползват Linux. Да, но данните показват само през каква операционна система е прочетен документът. А не как е добит. В свободното си време пък Кристиян не гледа надолу в класирането, за да види къде са “интер”, а играе игри. За тях трябва Windows.

Той е заловен, иззети са 3 компютъра. Те са криптирани, но

защитата на

единия бързо

е преодоляна

Там разследващите отриват, че той е имал достъп до файловете много преди да бъдат разпространени. Три дни преди пращането на данните до медиите на служебния компютър на Бойков са правени търсения с ЕГН-тата на премиера Бойко Борисов, главния прокурор Сотир Цацаров и депутата Делян Пеевски. Данните били сейфани във файл, кръстен “Търсене за бивол”.

Преди това Кристиян е издирвал информация и за адвокатска кантора “Авиора консулт”, която е свързвана с адвокат Александър Ангелов. Тя също е в папката “Търсене за бивол”. После търсел и евродепутата Емил Радев, а резултатите споделял с неустановено лице. На 11 юли младежът създал папката “Математика за домашно”, в която имало 106 база данни. 57 от тях били разпространени от Бойков. В мейла, изпратен до медиите на 15 юли, младежът споменава, че има още документи. В “Броене за домашно” пък имало база данни, идентични с тези на НАП, както и много други специфични наименования на таблиците от тях, които той още не бил обработил. Имало и броя на записите във всяка от таблиците.

Лично е сменил датите с 10 ноември 1989 г. Шокът обаче е от това какво друго има там.

Данни от банки,

застрахователни

и други фирми,

които нямат

договор

с TAD Group

Затова следва акция в цялата TAD Group в България. Иззети са множество служебни компютри.

А от този на Кристиян продължават да изскачат интересни неща. Много голям е течът на лична информация от няколко застрахователни дружества, научи “24 часа”.

В данните има номера на лични карти, имена, ЕГН и дори застрахователната история. В нея влизат например платени щети след причинена катастрофа. За щастие, при банковите данни течът е по-незначителен. Данните не са били изпращани, е показала експертиза. Затова се предполага, че

целта била да се

използват за

киберрекет

Терминът е сравнително нов, а в България навлезе преди дни, когато зам. главният прокурор Иван Гешев обяви, че дейността на TAD Group, в която работи Кристиян, е била именно такава.

Версията на разследващите е, че от TAD Group са хаквали компании, които не са им клиенти. След това са им казвали и целта е била да бъдат наети. Засега за хакването на НАП са обвинени Кристиян и търговският директор на фирмата Георги Янков. Те са подведени под отговорност за тероризъм - пуснали данните с цел да всеят паника. Двамата са на свобода срещу гаранции от по 20 000 лв. Шефът на TAD Group Иван Тодоров пък е в чужбина, но също ще бъде обвинен. Той е пуснат за издирване в Шенгенската информационна система, има и издадена Европейска заповед за арест. Тодоров е в Канада на събрание за един от другите си бизнеси. Готов е да се предаде.

Междувременно всичките му служители напуснаха. А мнозина се питат дали от TAD - САЩ, ще му върнат парите и това ли беше пиарът, който търсеха?