Etickí hackeri si posvietili na eKasu: Údajne umožňuje obchádzať platenie daní
Nový systém online prepojenia registračných pokladníc na finančnú správu, tzv. eKasa umožňuje obchádzať platenie daní omnoho jednoduchšie a v oveľa väčšej miere, ako staré registračné pokladnice. Na základe vlastných zistení o tom informuje Investigatívne centrum Jána Kuciaka (ICJK).
Funkčnosť nových pokladníc pre ICJK preverili etickí hackeri zo spoločnosti Nethemba. „Súčasné riešenie má fatálne bezpečnostné nedostatky a pokladáme ho za menej bezpečné, ako predošlé,“ konštatuje Pavol Lupták z tejto spoločnosti.
eKasa je jeden celok pozostávajúci z dvoch častí – pokladničného programu a chráneného dátového úložiska (CHDÚ). Tento systém by mohol fungovať, keby softvér používal na komunikáciu s chráneným úložiskom šifrované spojenie, upozorňuje ICJK.
Doklad, ktorý finančná správa nedostane
Pôvodne to tak malo byť, požiadavka bola medzi podmienkami certifikácie, ktorú museli získať výrobcovia pokladníc od finančnej správy. Neskôr však daniari od tohto nároku ustúpili. Práve preto je podľa ICJK možné novú eKasu obísť.
Etickí hackeri z firmy Nethemba v rámci testovania systému napísali emulátor, ktorý sa spojí s chráneným úložiskom, skopíruje ho a ďalej sa pred pokladnicou tvári ako modul CHDÚ. Následne môže používateľ napríklad vytlačiť pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy.
Zároveň nahradí identifikačné údaje pokladne náhodnými znakmi, takže spätne ju už nie je možné identifikovať. „Ak si budete takýto doklad overovať cez portál finančnej správy, nezistíte, že doklad je neplatný, dostanete len hlásenie, že doposiaľ nebol zaregistrovaný,“ vysvetľuje centrum.
Opakovaná tlač dokladu
Ďalšia možnosť je opakovaná tlač originálneho dokladu. Emulátor dokáže vytlačiť ten istý legálny doklad, so správnymi údajmi a regulárne zaregistrovaný na portáli finančnej správy, opakovane.
Ten istý nákup si tak môžu dať do nákladov aj desiatky podnikateľov. Šanca, aby kontrolór zistil, že dvaja podnikatelia kúpili ten istý tovar v tom istom čase v tom istom obchode, je podľa ICJK v praxi nulová.
„V tomto prípade sme sa samotného systému ani nedotkli a nijaký zásah nie je spätne žiadnym spôsobom preukázateľný. Náš emulátor môžete spustiť aj z virtuálneho disku a po vypnutí počítača po ňom neostane žiadna stopa. Aj keby vám finančná správa alebo polícia zhabala celý systém, nenašli by v ňom nič, čím by vám mohli dokázať podvod,“ upozornil na nedostatky systému Lupták.
Na čiernom trhu?
Emulátor v súčasnosti nie je nikde voľne k dispozícii, ani neexistuje vo forme užívateľsky jednoducho inštalovateľnej a spustiteľnej aplikácie.
V prostredí predajcov pokladníc sa však podľa ICJK začína hovoriť o tom, že podobné aplikácie by mohli byť na čiernom trhu už čoskoro k dispozícii.
Sledujte nás aj na Facebooku a Instagrame a nenechajte si ujsť ďalší zaujímavý obsah z domova i zo sveta.
Foto: ilustračné