База данни на поне 3 банки и няколко застрахователни дружества* са открили разследващите в служебния компютър на Кристиян Бойков, обвинен за хакването на НАП, научи в. “24 часа”. Компаниите не са имали договор с фирмата за киберсигурност, в която работи 20-годишният мъж - TAD Group. Затова зам. главният прокурор Иван Гешев посочи, че Бойков е “оръдие и маша”, а основната дейност на фирмата е киберрекет на компании. При атаката срещу 2 от банките бил използван същият метод, като при хакването на НАП - SQL инжекция. При нея, вместо да се вкарат данни, се подава команда, за да се получи достъп до определена информация.
Любопитен детйал е, че при атаката срещу едно от застрахователните дружества е използван методът крос-сайт скриптинг (XSS). При него се вкарва JavaScript код директно в приложението, без той да бъде валидиран. Когато жертвата отвори съответната страница, кодът дава възможност на атакуващия да се сдобие с чувствителни бисквитки и други данни. С такава атака фирмата TAD Group, в която Кристиян работи, е открила уязвимост в голям доставчик на мейл услуги, с който не е имала договор.