Миллион алых роз за 5 рублей: секрет казанского хакера

МВД Татарстана признало потерпевшими в уголовном деле онлайн-сервис доставки цветов «Русский букет» и его партнеров. Казанский программист Аслан Шигапов обнаружил техническую уязвимость в системе заказа на сайте компании и до марта 2022 года оформлял заказы на цветы с заниженной стоимостью. Похищенная продукция затем перепродавалась через сервис бесплатных объявлений. Общий ущерб составил более 1 млн рублей, который был полностью возмещен обвиняемым до судебного разбирательства. Потерпевшие ходатайствовали о прекращении уголовного дела за примирением сторон, но суд удовлетворил это частично.

Обстоятельства дела

Аслан Шигапов был привлечен к ответственности по статьям о неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере. За последнее преступление ему грозило до 10 лет лишения свободы. Советский районный суд Казани признал Шигапова виновным и назначил условное наказание — один год лишения свободы с таким же испытательным сроком. Если в течение года он не нарушит закон, наказание не будет исполнено.

Схема хищения

По данным следствия, Шигапов оформлял заказы на цветы через сайт rus-buket.ru, используя уязвимость системы. Эта уязвимость позволяла ему изменять информацию о сумме оплаты, отправляя на сервер данные о полной оплате заказа, при этом с его счетов списывались минимальные суммы. Таким образом, он оформил более 50 заказов на сумму от 900 рублей до 102 тысяч рублей. Самый крупный заказ включал букеты из 202 роз и тюльпаны, общая стоимость которых составляла 102 тысячи рублей, но оплачено было всего 5 рублей.

Как установлено в приговоре суда, схема хищения заключалась в том, что при оплате оформленного заказа Шигапов возвращался на предыдущий этап, останавливал загрузку веб-страницы и модифицировал данные о стоимости заказа. После внесения изменений процесс оплаты возобновлялся с новой стоимостью, что позволяло значительно снизить затраты.

Шигапов выступал посредником и предлагал своим клиентам выбрать букет на сайте сервиса, но оплатить ему напрямую. Заказы оформлялись не только по России, включая Казань, Набережные Челны, Нижнекамск, Москву и Волгоград, но и за границу — в Таиланд, Турцию и Казахстан. В числе похищенных товаров были не только цветочные композиции, но и плюшевые игрушки и конфеты. Клиентов он находил через знакомых и объявления на «Авито», а оплату принимал на свою карту, через «ЮМоney» или через третьих лиц.

Ещё одна деталь: Шигапов занимался своей деятельностью в рабочее время, используя компьютер своего работодателя ООО «СервисМонтажИнтеграция». В марте 2022 года сотрудники полиции сообщили службе экономической безопасности предприятия о действиях Шигапова, после чего он был уволен по собственному желанию.

В приговоре перечислены названия похищенных букетов: «Сон принцессы», «Розовый жемчуг», «Счастливый мишка», «Ноты любви», «Пение птиц», «Королевский сад», букеты из 101 розы и другие.

Потерпевшие и ущерб

В числе потерпевших значатся шесть компаний, связанных с сервисом «Русский букет», включая «Вебиндустрия» и её партнеров. Адвокат потерпевших Юлия Прушинская заявила, что за каждый доставленный заказ компания «Русский букет» была обязана рассчитываться с салонами-партнерами, что привело к значительным убыткам. Общий ущерб суд оценил в 1 млн 22 тысячи рублей, включая заказы, которые не были выполнены. До подачи заявления в полицию представители компании сообщили о неизвестном хакере, взломавшем их сайт, что позволило оперативно выявить схему хищения.

Решение суда

Суд учел смягчающие обстоятельства: полное признание вины, помощь следствию, погашение ущерба, молодой возраст Шигапова и его положительные характеристики. Судья частично прекратил дело по эпизоду о неправомерном доступе к компьютерной информации, но по статье о мошенничестве вынес обвинительный приговор. Изъятые у Шигапова системный блок и жесткий диск были конфискованы в доход государства.

Приговор вступил в силу.