Visszaélésre ad lehetőséget az APEH internetes árverése
2008. január 31.
„Nagyon jó kezdeményezésnek tartjuk azt a törekvést, miszerint egyre több ügyintézésre teremtenek lehetőséget az Ügyfélkapun keresztül. Ilyen például az APEH részéről az általuk lefoglalt ingóságok és gépkocsik nyilvános, interneten történő árverése is. Látnunk kell ugyanakkor, hogy ennek a biztonságos lebonyolítására az Ügyfélkapun keresztül történő azonosítási folyamat ma még nem biztosít kellő védelmet a felhasználók számára. Az Ügyfélkapu használatához szükséges regisztrációhoz ugyan személyesen be kell fáradni egy okmányirodába személyazonosságunk teljes körű azonosítása érdekében, de az ott papíron megkapott azonosítót, valamint a felhasználó által választott jelszót számtalan egyszerű módszerrel szerezhetik meg az erre szakosodott bűnözők, akik ezután könnyedén visszaélhetnek a felhasználók személyazonosságával. Az internetes árverés ebből a szempontból különösen kritikus, mert ez az első olyan alkalmazás, amelynek működéséből közvetlen anyagi kár is érheti az áldozatokat az Ügyfélkapu korszerűtlen azonosító rendszere miatt” – mondta Dr. Kőrös Zsolt, a Noreg Kft. ügyvezető igazgatója.
Bármely, az Ügyfélkapun regisztrált állampolgárral előfordulhat az a kellemetlen meglepetés, hogy értesítést kap az APEH-től, miszerint részt vett egy árverésen és annak nyerteseként kötelezik a licitre bocsátott ingóság vételárának 8 napon belül történő megfizetésére. A megtett ajánlat nem vonható vissza, akár maga az érintett állampolgár, akár csak az azonosítóit megszerző illetéktelen személy licitált a nevében. Ha a nyertes bármilyen okból visszalép, az utána következő legmagasabb érvényes ajánlattétel nyer, de a két vételár közti különbözet a fizetést elmulasztó első nyertest terheli, és az adóhatóság határozattal kötelezheti annak kifizetésére. Ez az a pont, ahol az áldozatokat kár érheti, hiszen itt már senkinek sincs esélye arra, hogy bebizonyítsa: nem ő licitált az adott ingóságra.
„Az Ügyfélkapunál alkalmazott azonosító módszernek egyetlen előnye van, nevezetesen az, hogy ez a legolcsóbb. Nem véletlen ugyanakkor, hogy egyetlen internetes ügyintézési lehetőséget nyújtó banknak sem jutna az eszébe megengedni az ilyen egyszerű felhasználónév/jelszó azonosítást. Ehelyett mindenhol olyan tényleges biztonságot nyújtó technológiákat alkalmaznak, mint pl. az sms-en keresztüli azonosítás, az egyszer használható jelszó, vagy az elektronikus aláírás használata, amelynek alkalmazásával a licitálásra jelentkező felhasználók személyazonossága száz százalékos biztonsággal ellenőrizhető, és amely egy biztonsági szempontból megfelelően szigorú azonosítási folyamatot hozhatna létre az Ügyfélkapun is. Az elektronikus aláírás létrehozásához és ellenőrzéséhez egy nyilvános-magán kulcspár szükséges, amelynek a privát részéhez (többnyire smart kártyán tárolt) csak a felhasználó férhet hozzá, elvesztése esetén pedig egy órán belül letiltható a használata, ugyanúgy mint a bankkártyák esetében” – tette hozzá Dr. Kőrös Zsolt.
Kapcsolódó cikkek
- Veszélyes rés a Firefoxon
- Közbiztonsági közösséget hozott létre az SAP
- Elektronikus számlázás Magyarországon
- 14 ezer e-mail címet töröltek véletlenül
- Szoftverrel a hamis pénzérmék nyomában
- Ismét veszélyben a Firefox-felhasználók adatai
- Windows Update-nek álcázott Backdoor-trójai terjed
- Vishing - új, még rafináltabb adathalászcsel
- Veszélyes sebezhetőség a Skype-on
- A Noreg három évre megújította a legmagasabb szintű információbiztonsági tanúsítványát