eKasu vraj možno hacknúť jednoduchšie ako starý systém
Nový systém online prepojenia registračných pokladníc na finančnú správu (tzv. eKasa) umožňuje obchádzať platenie daní omnoho jednoduchšie a v oveľa väčšej miere, ako staré registračné pokladnice. Na základe vlastných zistení o tom informuje Investigatívne centrum Jána Kuciaka. Opozičná strana OĽANO to považuje za megaškandál.
Fatálne nedostatky
Funkčnosť nových pokladníc pre ICJK preverili etickí hackeri zo spoločnosti Nethemba. "Súčasné riešenie má fatálne bezpečnostné nedostatky a pokladáme ho za menej bezpečné, ako predošlé," konštatuje Pavol Lupták z tejto spoločnosti.
eKasa je jeden celok pozostávajúci z dvoch častí – pokladničného programu a chráneného dátového úložiska. Tento systém by mohol fungovať, keby softvér používal na komunikáciu s chráneným úložiskom šifrované spojenie, upozorňuje ICJK. Pôvodne to tak malo byť, požiadavka bola medzi podmienkami certifikácie, ktorú museli získať výrobcovia pokladníc od finančnej správy. Neskôr však daniari od tohto nároku ustúpili. Práve preto je podľa ICJK možné novú eKasu obísť.
OĽANO nazvalo situáciu okolo hacknutia eKasy megaškandálom a tvrdí, že deravý systém namiesto vyššieho výberu DPH umožňuje podvodníkom pripraviť občanov o stovky miliónov eur.
Etickí hackeri z firmy Nethemba v rámci testovania systému napísali emulátor, ktorý sa spojí s chráneným úložiskom, skopíruje ho a ďalej sa pred pokladnicou tvári ako modul CHDÚ. Následne môže používateľ napríklad vytlačiť pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy. Zároveň nahradí identifikačné údaje pokladne náhodnými znakmi, takže spätne ju už nie je možné identifikovať. "Ak si budete takýto doklad overovať cez portál finančnej správy, nezistíte, že doklad je neplatný, dostanete len hlásenie, že doposiaľ nebol zaregistrovaný," vysvetľuje centrum.
Podvod by nevedeli dokázať ani policajti
Ďalšia možnosť je opakovaná tlač originálneho dokladu. Emulátor dokáže vytlačiť ten istý legálny doklad, so správnymi údajmi a regulárne zaregistrovaný na portáli finančnej správy, opakovane. Ten istý nákup si tak môžu dať do nákladov aj desiatky podnikateľov. Šanca, aby kontrolór zistil, že dvaja podnikatelia kúpili ten istý tovar v tom istom čase v tom istom obchode, je podľa ICJK v praxi nulová.
"V tomto prípade sme sa samotného systému ani nedotkli a nijaký zásah nie je spätne žiadnym spôsobom preukázateľný. Náš emulátor môžete spustiť aj z virtuálneho disku a po vypnutí počítača po ňom neostane žiadna stopa. Aj keby vám finančná správa alebo polícia zhabala celý systém, nenašli by v ňom nič, čím by vám mohli dokázať podvod," upozornil na nedostatky systému Lupták.
Emulátor v súčasnosti nie je nikde voľne k dispozícii, ani neexistuje vo forme užívateľsky jednoducho inštalovateľnej a spustiteľnej aplikácie. V prostredí predajcov pokladníc sa však podľa ICJK začína hovoriť o tom, že podobné aplikácie by mohli byť na čiernom trhu už čoskoro k dispozícii.
