Вначале марта у образовательного сервиса Skillbox неожиданно сменился гендиректор: место основателя компании Дмитрия Крутова занял некий Ислам Кучаев. По крайней мере, это следовало из официальных бумаг, которые зарегистрировал московский нотариус, а затем — и налоговая. Формально решение о такой перестановке принял совет директоров компании, но затем выяснилось, что руководство никакого Ислама Кучаева не знает и никуда его не назначало.
Новым гендиректором оказался обычный клиент сервиса, которому не понравился курс Skillbox по кибербезопасности, — Ислам потребовал вернуть деньги и, получив из оплаченных 90 тысяч только около 60, пообещал отомстить. После этого Skillbox и перешёл в другие руки, а официальное название компании сменилось на «Сферу». Руководство заметило эти перемены лишь через три дня и сумело откатить все изменения.
Однако всё оказалось гораздо сложнее. После первой публикации об этой истории с «Базой» связался хакер Skiffos, взявший на себя ответственность за атаку. Он представился приятелем Кучаева и подробно рассказал о своих мотивах: наказать компанию и заставить её вернуть недостающие 30 тысяч. По словам Skiffos, он просто хочет помочь товарищу восстановить справедливость и деньги его не интересуют. Но в случае отказа от возврата он всё же пообещал уничтожить бизнес Skillbox изнутри. Мы публикуем рассказ хакера, «укравшего» целую компанию.
«Мы тоже люди и не собираемся свои кровные им дарить»
Меня зовут СКИФ. Ислам Кучаев — мой сотрудник из офиса. Я лишь исполнитель. Ислам задолбал меня с просьбами обучить его тому, что умею я. Но я самоучка по кибербезопасности и не учился по учебникам, у меня нет навыков обучения и не было времени. Тогда Ислам пошел учиться в Skillbox. Через некоторое время я устроил ему экзамен, и его знания мне не понравились: он ничего не знал.
К тому времени он отходил 4–7 занятий, не больше, и сдал лишь 1 домашнее задание. Первый курс был о [языке программирования] Python. Но учителям там вообще было всё равно на студентов: они даже не говорили, какие требования должны быть к ноуту для обучения. Это я уже увидел, что нужен не менее 6 гигабайт ОЗУ. А товарищ мой хотел начать на планшете. Ещё его добавили в чат, где к нему отнеслись очень негативно и выгнали почти сразу. На его вопросы по теме уроков тоже не отвечали.
Так Skillbox «отжимали» официально. Фото предоставлено хакером Skiffos
После этого Ислам захотел уйти. Он просил вернуть ему все деньги (оплата была 96 000 рублей), но ему согласились отдать только 59 200. Хотя мы им долго доказвывали, что услуга не была оказана в полном объёме. Когда отказались возвращать сумму, было принято решение наказать их: была сделана «разведка на местности» о жертве, был сбор информации о наличии счетов, руководителях и учредителях через базы закрытые. Получили место жительства самого основателя, его контакты и телефоны.
Ну а далее вы и сами писали. Мы подготовили документы — старый и новый уставы, необходимое решение и оформили регистрацию через ИФНС. Обладая навыками взлома и имея море практики, не так сложно было достать старый устав. Ведь всё, что в Сети, — у меня в доступе: логины, пароли, образцы подписей, телефоны, сайты.
Относили документы в налоговую два раза. Но первый раз не приняли, так как был «левый дроп». А во второй раз всё получилось.
Фото предоставлено хакером Skiffos
Но есть важный момент: у меня не было задачи ломать до боли. Хотел бы — сломал. Получил бы электронную цифровую подпись и по ней уже отправил бы компанию в ликвидацию, повесил бы на неё НДС, в конце концов, вывел бы средства со счетов и по ЭЦП ликвидировал бы компанию. Но задача была показать им, что нельзя так. Мы тоже люди и не собираемся свои кровные им дарить. Меня возмущает несправедливость. Они обещали предоставить услуги и трудоустроить.
Но при этом я ни рубля не взял, хотя мог и видел счета и в каких банках. Я хочу, чтобы руководство само вернуло деньги. Я понимаю, что где-то сам неправ. Используя навыки, нагнул компанию. Но они этого сами хотели, как понимаю. Когда мы увидели новости об атаке на Skillbox, написали им два письма: что не ищем славы и что до 28 марта им нужно вернуть наше. Иначе — пойду ломать. А они молчат. Тактика у них дурацкая — молчание. Учат, а сами как дети.
Заменённая почта Skillbox, которую контролирует хакер
Им же хуже будет. Смена паролей им не поможет. Они просто не понимают масштаб до конца. Реально — будет ад: слетят все почты, отключится интернет, слетят личные аккаунты, со счетов уйдут деньги на благотворительность, и 1300 сотрудников останутся на улице. Затраты у нас [на атаку], конечно, больше, чем они должны. Это тоже война и политика в своём роде. Война специалиста-одиночки против тех кто якобы учит таких специалистов. Война с бизнес-гигантом с оборотом в более 200 млн.
Они про себя думают и считают, что это я мошенник и преступник. Так откройте официальные источники: более 200 судебных дел. Судятся и студенты с ними. Я пошёл путем более коротким и для меня понятным, я ж не юрист, чтобы там на суде что-либо доказывать против армии их юристов.
Ислам в курсе, что следователи будут этим заниматься. Мы всё обсудили и, как в разведке, пути отхода предусмотрели. Трудности преодолевать не впервой бойцу спецвойск. А меня сложно найти. Официально в компаниях я не работал и не получал образования в вузах. В случае шухера какого-то — отрабатывают версии о выпускниках. Для друзей и знакомых есть легенда: я просто программист. Обо мне в Европе больше пишут и в даркнете.
Скриншот заменённой почты Skillbox. Предоставлен хакером Skiffos
Но потом будет смешно, ведь силовики прекрасно меня знают и сами не раз обращались с чем-либо. Им же тоже что-то нужно без согласования с руководством. Если ваша статья выйдет в свет, то они отстанут от Ислама, поняв исполнителя.
