adozona.hu
Visszaélésekre ad lehetőséget az APEH internetes árverése
//test-adozona.hu/archive/20080131_apeh_visszaelesarveresek
Visszaélésekre ad lehetőséget az APEH internetes árverése
Az információbiztonsági technológiákkal foglalkozó Noreg Kft. szerint az APEH elektronikus árverése is visszaélésekre ad lehetőséget. Az árverésen való részvétel Ügyfélkapu-regisztrációhoz kötött, amely viszont nem garantálhatja a felek megfelelő azonosítását. Emiatt bárkivel előfordulhat, hogy személyes azonosítóit megszerezve licitálnak a nevében.
Az Ügyfélkapu használatához szükséges regisztrációhoz ugyan személyesen be kell fáradni egy okmányirodába személyazonosságunk teljes körű azonosítása érdekében, de az ott papíron megkapott azonosítót, valamint a felhasználó által választott jelszót számtalan egyszerű módszerrel szerezhetik meg az erre szakosodott bűnözők, akik ezután könnyedén visszaélhetnek a felhasználók személyazonosságával. Az internetes árverés ebből a szempontból különösen kritikus, mert ez az első olyan alkalmazás, amelynek működéséből közvetlen anyagi kár is érheti az áldozatokat az Ügyfélkapu korszerűtlen azonosító rendszere miatt” – mondta Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója.
Bármely, az Ügyfélkapun regisztrált állampolgárral előfordulhat az a kellemetlen meglepetés, hogy értesítést kap az APEH-től, miszerint részt vett egy árverésen és annak nyerteseként kötelezik a licitre bocsátott ingóság vételárának 8 napon belül történő megfizetésére. A megtett ajánlat nem vonható vissza, akár maga az érintett állampolgár, akár csak az azonosítóit megszerző illetéktelen személy licitált a nevében. Ha a nyertes bármilyen okból visszalép, az utána következő legmagasabb érvényes ajánlattétel nyer, de a két vételár közti különbözet a fizetést elmulasztó első nyertest terheli, és az adóhatóság határozattal kötelezheti annak kifizetésére. Ez az a pont, ahol az áldozatokat kár érheti, hiszen itt már senkinek sincs esélye arra, hogy bebizonyítsa: nem ő licitált az adott ingóságra.
„Az Ügyfélkapunál alkalmazott azonosító módszernek egyetlen előnye van, nevezetesen az, hogy ez a legolcsóbb. Nem véletlen ugyanakkor, hogy egyetlen internetes ügyintézési lehetőséget nyújtó banknak sem jutna az eszébe megengedni az ilyen egyszerű felhasználónév/jelszó azonosítást. Ehelyett mindenhol olyan tényleges biztonságot nyújtó technológiákat alkalmaznak, mint pl. az sms-en keresztüli azonosítás, az egyszer használható jelszó, vagy az elektronikus aláírás használata, amelynek alkalmazásával a licitálásra jelentkező felhasználók személyazonossága száz százalékos biztonsággal ellenőrizhető, és amely egy biztonsági szempontból megfelelően szigorú azonosítási folyamatot hozhatna létre az Ügyfélkapun is. Az elektronikus aláírás létrehozásához és ellenőrzéséhez egy nyilvános-magán kulcspár szükséges, amelynek a privát részéhez (többnyire smart kártyán tárolt) csak a felhasználó férhet hozzá, elvesztése esetén pedig egy órán belül letiltható a használata, ugyanúgy mint a bankkártyák esetében” – tette hozzá Kőrös Zsolt.