Ahogy a Privátbankár.hu is feltételezte, valóban a NAV etikus hackereinek vizsgálata vezetett oda, hogy csütörtökön az Alt Cash Kft. által forgalmazott, SAM4S NR-300 ONLINE és a Japán Cash Company Kft. S&E NR-300 ONLINE elnevezésű, korábban már jóváhagyott online pénztárgépek engedélyét.
Mit talált a hacker?
Az Alt Cash Kft. hétfőn reggel azt közölte: az MKEH hatósági műszaki szakértőt rendelt ki a SAM4S NR-300 pénztárgép vizsgálatára, aki "a normál típusvizsgálat keretein túlmutató etikus hackelés eljárásával" a pénztárgép megbontását követően közvetlenül csatlakozott egy számítógéppel az adóügyi ellenőrző egységhez. Ilyen módon a NEM ADÓÜGYI BIZONYLAT nyomtatási funkcióban lévő biztonsági rést kihasználva képes volt tetszőleges szöveget nyomtatni.
A betiltott kassza |
A társaság közleményét jegyző Madarász Jenő ügyvezető azt írja: ez a folyamat a pénztárgép megbontása nélkül megvalósíthatatlan; az ilyen mérvű átalakítás elleni átfogó védelem pedig meghaladja a rendeletben előírt, a típusvizsgálat során az MKEH és a NAV munkatársaival egyeztetett védelmi szintet. Így lehetett a hackelt gépen nem megfelelő működést előidézni - írja. Az illetéktelen beavatkozás egyébként az adóügyi ellenőrző egység blokkolását idézte elő, amiről a feladott napló file útján a NAV szerver értesülést is szerezhetett.
Miért kellett betiltani?
Az ügyvezető azt írja: elismerik, hogy biztonsági rést tárt fel a szakértő, a hibát haladéktalanul kijavítják. Sérelmesnek tartják azonban az MKEH túlságosan szigorú eljárását, amely lehetetlen helyzetbe hoz közel 80 000 kereskedőt. "Esetünkben egy hacker által átalakított pénztárgépen végrehajtott, speciális programmal vezérelt szándékos beavatkozásáról van szó és nem arról, hogy a pénztárgép lenullázza a zárás számot és a teljes göngyölített forgalmat, vagy hibásan számítaná az ÁFÁ-t. Elegendő lett volna felszólítania minket, hogy haladéktalanul szüntessük meg ezt a biztonsági rést" - írja az ügyvezető.
A biztonsági rés megszüntetése programmódosítással napok alatt megoldható, a már használatban lévő gépek szoftverfrissítése a NAV szerverén keresztül megvalósítható. A kialakult helyzetről a társaság hétfő délelőtt megbeszélést folytat Pankucsi Zoltán adózásért és számvitelért felelős helyettes államtitkárral. Arra kérik: a program javítását követően az MKEH gyorsított eljárásban vizsgálja meg a megoldást, az illetékesek pedig a határidő hosszabbításával tegyék lehetővé megrendelőik számára, hogy ne veszítsék el kedvezményüket.
Most mi legyen?
A hivatal döntése előreláthatóan 15 nap múlva emelkedik jogerőre - közölte a Privátbankárral pénteken az Országos Kereskedelmi Szövetség. A jelenlegi pénztárgép szabályok szerint az üzemeltetőknek jogerős, minden tekintetben érvényes hatósági engedéllyel kell rendelkezniük, így két hét múlva ennek a feltételnek már feltehetően nem felelnek majd meg. A visszavont engedélyű pénztárgép-megrendeléseket elvileg mielőbb vissza kellene vonni.
A helyzetet bonyolítja, hogy a Nemzetgazdasági Minisztérium azonnal összehívta az online pénztárgépcserét figyelemmel kísérő Munkabizottság rendkívüli ülését szombatra, ahol megpróbáltak megoldási javaslatokat kidolgozni a helyzetre - ennek eredménye egyelőre azoban nem ismert.