Adathalász link segítségével fért hozzá hallgatók és oktatók adataihoz J. Gábor, akit még májusban fogtak el. Február 14. és március 13. között egy iskola több tanárjának és közel száz hallgatójának Neptun fiókjába jutott be, és amellett, hogy így megszerezhette személyes adataikat, képes volt módosítani bankszámlaszámokat és jegyeket is.
Az ösztöndíjra jogosult tanulók közül kettő esetében úgy sikerült átírnia a számlaszámot, hogy az utalás az általa megadott számlára végbement (egyszer 160 ezer, egyszer 152 ezer forintos összeggel), ám a többi esetben nem zajlott le a folyamat, így aztán visszaírta az eredeti adatokat.
Február 10-11-én egy másik fővárosi egyetemnél próbálkozott, ott 43 fiókba lépett be, ám nem tudott nagyot zsákmányolni: 35 felhasználónál külföldi számot adott meg, amire nem sikerült átutalni az ösztöndíjakat, de egy magyar számlaszámra 64 ezer forintot meg tudott szerezni. 4 millió forint helyett így mindössze 376 ezer forintot sikerült lenyúlnia.
A BRFK nyomozói az egyik oktatási intézmény bejelentése alapján indítottak nyomozást ismeretlen elkövető ellen, melynek során kiderült, a fiatal a saját és egy ismerőse jegyeit is módosította egy oktató fiókján keresztül. A digitális nyomokat a BRFK kiberbűnözés elleni nyomozói sikerrel visszafejtették.
A rendőrök a fiatalt május 6-án, budapesti otthonában fogták el, valamint lefoglaltak több számítógépet, adathordozókat, mobilokat, tabletet, egy gáz-riasztó fegyvert, részben körözött magyar okmányokat, és egy "univerzális rádiófrekvenciás eszközt" (az alábbi videó alapján egy Flipper Zero) is. Az egyik gépen talált videóban J. Gábor azt magyarázza, hogyan hajtotta végre az adatlopást, ebből is látható részlet alább.
Felmerült annak gyanúja is, hogy további intézményeket is kiszemelt. Üzletszerűen, információs rendszer felhasználásával elkövetett csalás és csalás kísérlet miatt hallgatták ki gyanúsítottként, majd letartóztatták.