Iværksætter afslører brist hos ATP og Danske Bank

Både ATP og Danske Banks hjemmesider indeholder alvorlige sårbarheder, afslører 27-årig iværksætter.

Artikel top billede

Foto: Torben Klint

Læs også: Danske Bank: Sårbarheder er nu rettet.

En af landets største banker, Danske Bank, og pensionsvirksomheden ATP, som næsten alle danskere er tilknyttet, har alvorlige sårbarheder i deres hjemmesider.

Det oplyser iværksætteren Anders Skovsgaard, der netop har stiftet firmaet Hackavoid.

Han har lavet en scanner, der afslører de ømme steder på hjemmesider.

Og dommen over ATP og Danske Bank er hård. Du kan se Danske Banks svar på kritikken her.

"ATP er sårbar overfor cross site scripting. I ATP's tilfælde er sårbarheden meget alvorlig, da den er på samme domæne, hvor al brugeraktivitet foregår," siger Anders Skovsgaard.

Konsekvensen kan i yderste konsekvens være, at alt brugerindhold trækkes ud, hvis en bruger følger et specielt udformet link samtidig med, han er logget ind.

Det gælder for eksempel session-cookies eller tekst på siden, forklarer Anders Skovsgaard.

Personfølsomme data

Hvor alvorlige anser du sårbarhederne for at være?

"Meget alvorlige, da Atp.dk indeholder personfølsomme data, som kan udtrækkes af ondsindede," siger Anders Skovsgaard.

På en skala fra 1 til 5, hvor fem er yderst kritisk, og et er mindre kritisk, placerer Anders Skovsgaard ATPs sårbarheder til fire.

"Det skyldes, at det er oplagt at udnytte denne type sårbarheder på sider, hvor der er brugerlogin og følsomme oplysninger," siger Anders Skovsgaard.

Franarres oplysninger hos Danske Bank

Også på Danske Banks hjemmeside er den gal.

"På www.danskebank.dk fandt scanneren flere sårbarheder af typen cross site scripting. Det er en sårbarhed, der ofte bliver overset af udviklerne, og mange kender ikke alvoren af alle de muligheder, der er for udnyttelse," siger Anders Skovsgaard.

Generelt kan cross site scripting udnyttes til at udtrække session-cookies og dermed blive logget ind som en anden bruger, forklarer Anders Skovsgaard.

"Eller der kan udlæses data, der ellers kun var tiltænkt en anden bruger. Dermed kan der også udføres requests på vegne af en anden bruger, selvom der er beskyttelse mod Cross Site Request Forgery," siger han.

I Danske Banks tilfælde foregår der ikke brugerlogin på selve danskebank.dk, og dermed er der kun risiko for, at en CMS-administrationskonto bliver overtaget, forklarer Anders Skovsgaard.

"En anden måde at udnytte sårbarheden på danskebank.dk vil være at lokke brugere ind på danskebank.dk med et specielt konstrueret link."

"Dermed kan siden udformes, som en angriber ønsker det - for eksempel kunne der tilbydes at downloade et program eller laves en formular til indtastning af kreditkortoplysninger. Alt sammen kontrolleret af angriberen," siger Anders Skovsgaard.

Han anser sårbarhederne for en troværdig hjemmeside som danskebank.dk som rimelig alvorlig.

"De bør bruge meget energi på at lukke denne type sårbarheder, da besøgende kan blive franarret følsomme oplysninger, eller få malware installeret," siger han.

Anders Skovsgaard giver sårbarhederne tallet 3 på skalaen fra et til fem.

"Der ikke er brugerlogin på domænet - det foregår på andre subdomæner udenfor browserens Same-Origin Policy. Dog øger det alvoren af sårbarheden, at det er en bank-hjemmeside," siger Anders Skovsgaard.

Munkedal: Det er alvor
Hos det etablerede it-sikkerhedsfirma Fortconsult er direktør Ulf Munkedal enig i, at sårbarhederne er alvorlige.

"Ja, det er helt sikkert sikkerhedsproblemer, som de to virksomheder bør få løst," siger han.

Cross Site Scripting (XSS) sårbarheder kan bruges til at angribe eller narre en virksomheds kunder, og derfor bør de generelt løses snarest muligt, forklarer Ulf Munkedal.

"Virksomheder i den finansielle sektor bør tage XSS-sårbarheder mere alvorligt, da de oftere end andre typer virksomheder er udsat for phising-angreb og lignende, som netop er rettet mod deres kunder," siger han.

Ulf Munkedal forklarer, at XSS-sårbarheder opstår typisk på grund af manglende fokus på input-validering i udviklingsfasen.

"Derfor kan XSS-sårbarheder betyde, at der er noget generelt i virksomhedens arbejdsprocesser omkring udvikling af applikationer, som man bør forbedre - ud over naturligvis at få løst selve sikkerhedsproblemet snarest," siger direktøren.

Læs også: Danske Bank: Sårbarheder er nu rettet.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Capgemini Danmark A/S

    Microsoft AI Solution Architect

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    IT-anskaffelseskonsulent til gennemførsel af IT-anskaffelser og udbud i Forsvaret

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Tekniske specialister til ITSM og CMDB til opbygning af Forsvarets nye Digital Backbone

    Midtjylland

    KMD A/S

    Business analyst

    Københavnsområdet

    Navnenyt fra it-Danmark

    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS