Mint azt a Bitport is megírta, mintegy 80 ezer vállalkozót érinthet anyagilag is kellemetlenül, hogy a Magyar Kereskedelmi Engedélyezési Hivatal (MKEH) a múlt héten visszavonta az Alt Cash Kft. által forgalmazott, SAM4S NR-300 típusú pénztárgép engedélyét. A Nemzeti Adó- és Vámhivatal (NAV) rendszerébe online beköthető pénztárgép a hivatal állítása szerint alkalmas a csalásra.
Az Alt Cash a hibát az engedély visszavonása óta azonosította és azt ígéri: még szerdán kijavítja – írta az MTI. A cég szerint könnyen javítható szoftveres probléma, és a NAV rendszerén keresztül a már üzembe helyezett készülékeken is orvosolható.
A cég közleménye hangsúlyozza: minden szoftvert, technikai eszközt fel lehet törni. Az MKEH-nek is csak több hónappal az engedélyezés után, külső szakértők bevonásával és a forráskód birtokában sikerült biztonsági rést találni a készüléken.
Etikus hackert vetett be a hivatal
Mint azt előző cikkünkben megírtuk, az Alt Cash berendezését úgy "hackelték meg", hogy megbontották a készüléket, feltörték a szervizpecsétjét, majd pedig egy PC-hez kötötték az Adóügyi Ellenőrző Egységét (AEE). Mint írják, "egy apróbb szoftverhiányosság kihasználásával, elképzelhető, hogy lehet olyan nyugtára hasonlító bizonylatot készíteni a segítségével, amelynek nyomtatását nem rögzíti az AEE."
Csakhogy a beavatkozás blokkolja az egységet, ami erről értesítést is küld a NAV szerverének. Ez azt jelenti, hogy csak magas szintű műszaki és informatikai tudással lehet végrehajtani a csalást, ami egyrészt kevés haszonnal kecsegt, másrészt a támadásnak nyoma marad a NAV naplófájljaiban. "Legalábbis az MKEH által a fejlesztőinknek bemutatott bizonylatok ezt igazolják, a kijelentést minden kétséget kizáróan bizonyító naplófájlok bemutatását a hatóság munkatársai a mai napon megtagadták" – idézi az MTI az Alt Cash közleményét.
A cég továbbra is kategórikusan visszautasítja, hogy szándékosan feltörhető gépet hoztak volna forgalomba, ahogy azt is, hogy más gépet adtak volna be engedélyeztetésre, mint amit forgalomba hoztak. A készülék felépítését és biztonsági szintjét a több hónapon át tartó típusvizsgálat során az MKEH és a NAV munkatársai is megismerték és elfogadták. A most alkalmazott támadási módszer kivédését pedig előzetesen nem is írták elő a gyártó számára.
Gondok lehettek a számlázással is
Az Alt Cash esetében felmerült annak a gyanúja is, hogy nem szabályosan kezelték a pénztárgépekre igényelhető állami támogatást. A támogatást a kereskedők olyan módon vehetik igénybe, hogy azt a pénztárgép szállítója levonja a gép árából. Tehát a kedvezményre jogosult kereskedők eleve 50 ezer forinttal olcsóbban juthatnak hozzá a berendezéshez, a szállító pedig az államtól igényelheti a különbözetet. Felmerült azonban, hogy az Alt Cash ehelyett a teljes vételárat beszedte volna, és a támogatási összeget csak akkor utalta volna vissza a kereskedőknek, ha azt az államtól már megkapta.
A cég azonban ezt a vádat is határozottan visszautasítja – áll a cég Facebook-oldalán is olvasható közleményben.
Túl nagy biznisz, túl kicsi hasznon
Az Országos Rendőr-főkapitányság az MTI-nek megerősítette, hogy az adócsalásra is alkalmasnak vélt pénztárgépek miatt tettek feljelentést, és a rendőrség kedden házkutatásokat is tartott az MKEH-nál és az Alt Cash telephelyén. A Készenléti Rendőrség Nemzeti Nyomozó Iroda vesztegetés bűntett gyanúja miatt folytat eljárást ismeretlen tettes ellen.
Ugyanakkor érdekes körülmény, hogy az Alt Cash az egyik meghatározó szereplője a pénztágép-cserének, és régi motorosnak, ráadásul az egyik legnagyobbnak számít ezen a piacon. Ez is szerepet játszott abban, hogy a Magyar Telekom partnerei lettek a gépcsere kapcsán.
Ebben a pozícióban legalábbis meglepő, hogy egy valóban csak bonyolult módon kihasználható hátsó kaput hagytak volna az általuk forgalmazott pénztárgépen. Különösen úgy, hogy egy ilyan beavatkozásnak esetleg valóban nyoma maradhat a NAV szervereinek naplófájljaiban, ahogy az Alt Cash állítja a fentebb idétett facebookos bejegyzésében.
Bár a cég számára valószínűleg az pénztárgépek értékesítése sem kis volumenű üzlet, hosszú távú jövedelmet inkább a szervizháttér biztosítása jelenthet. Ezt kockáztatni legalábbis badarság lenne. Legalábbis józan számítások szerint.
Biztonságos M2M kommunikáció nagyvállalti környezetben a Balasystól
A megnövekedett támadások miatt az API-k biztonsága erősen szabályozott és folyamatosan auditált terület, amelynek védelme a gépi kommunikáció (M2M) biztonságossá tételén múlik.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak