Iværksætter afslører brist hos ATP og Danske Bank

Både ATP og Danske Banks hjemmesider indeholder alvorlige sårbarheder, afslører 27-årig iværksætter.

Artikel top billede

Foto: Torben Klint

Læs også: Danske Bank: Sårbarheder er nu rettet.

En af landets største banker, Danske Bank, og pensionsvirksomheden ATP, som næsten alle danskere er tilknyttet, har alvorlige sårbarheder i deres hjemmesider.

Det oplyser iværksætteren Anders Skovsgaard, der netop har stiftet firmaet Hackavoid.

Han har lavet en scanner, der afslører de ømme steder på hjemmesider.

Og dommen over ATP og Danske Bank er hård. Du kan se Danske Banks svar på kritikken her.

"ATP er sårbar overfor cross site scripting. I ATP's tilfælde er sårbarheden meget alvorlig, da den er på samme domæne, hvor al brugeraktivitet foregår," siger Anders Skovsgaard.

Konsekvensen kan i yderste konsekvens være, at alt brugerindhold trækkes ud, hvis en bruger følger et specielt udformet link samtidig med, han er logget ind.

Det gælder for eksempel session-cookies eller tekst på siden, forklarer Anders Skovsgaard.

Personfølsomme data

Hvor alvorlige anser du sårbarhederne for at være?

"Meget alvorlige, da Atp.dk indeholder personfølsomme data, som kan udtrækkes af ondsindede," siger Anders Skovsgaard.

På en skala fra 1 til 5, hvor fem er yderst kritisk, og et er mindre kritisk, placerer Anders Skovsgaard ATPs sårbarheder til fire.

"Det skyldes, at det er oplagt at udnytte denne type sårbarheder på sider, hvor der er brugerlogin og følsomme oplysninger," siger Anders Skovsgaard.

Franarres oplysninger hos Danske Bank

Også på Danske Banks hjemmeside er den gal.

"På www.danskebank.dk fandt scanneren flere sårbarheder af typen cross site scripting. Det er en sårbarhed, der ofte bliver overset af udviklerne, og mange kender ikke alvoren af alle de muligheder, der er for udnyttelse," siger Anders Skovsgaard.

Generelt kan cross site scripting udnyttes til at udtrække session-cookies og dermed blive logget ind som en anden bruger, forklarer Anders Skovsgaard.

"Eller der kan udlæses data, der ellers kun var tiltænkt en anden bruger. Dermed kan der også udføres requests på vegne af en anden bruger, selvom der er beskyttelse mod Cross Site Request Forgery," siger han.

I Danske Banks tilfælde foregår der ikke brugerlogin på selve danskebank.dk, og dermed er der kun risiko for, at en CMS-administrationskonto bliver overtaget, forklarer Anders Skovsgaard.

"En anden måde at udnytte sårbarheden på danskebank.dk vil være at lokke brugere ind på danskebank.dk med et specielt konstrueret link."

"Dermed kan siden udformes, som en angriber ønsker det - for eksempel kunne der tilbydes at downloade et program eller laves en formular til indtastning af kreditkortoplysninger. Alt sammen kontrolleret af angriberen," siger Anders Skovsgaard.

Han anser sårbarhederne for en troværdig hjemmeside som danskebank.dk som rimelig alvorlig.

"De bør bruge meget energi på at lukke denne type sårbarheder, da besøgende kan blive franarret følsomme oplysninger, eller få malware installeret," siger han.

Anders Skovsgaard giver sårbarhederne tallet 3 på skalaen fra et til fem.

"Der ikke er brugerlogin på domænet - det foregår på andre subdomæner udenfor browserens Same-Origin Policy. Dog øger det alvoren af sårbarheden, at det er en bank-hjemmeside," siger Anders Skovsgaard.

Munkedal: Det er alvor
Hos det etablerede it-sikkerhedsfirma Fortconsult er direktør Ulf Munkedal enig i, at sårbarhederne er alvorlige.

"Ja, det er helt sikkert sikkerhedsproblemer, som de to virksomheder bør få løst," siger han.

Cross Site Scripting (XSS) sårbarheder kan bruges til at angribe eller narre en virksomheds kunder, og derfor bør de generelt løses snarest muligt, forklarer Ulf Munkedal.

"Virksomheder i den finansielle sektor bør tage XSS-sårbarheder mere alvorligt, da de oftere end andre typer virksomheder er udsat for phising-angreb og lignende, som netop er rettet mod deres kunder," siger han.

Ulf Munkedal forklarer, at XSS-sårbarheder opstår typisk på grund af manglende fokus på input-validering i udviklingsfasen.

"Derfor kan XSS-sårbarheder betyde, at der er noget generelt i virksomhedens arbejdsprocesser omkring udvikling af applikationer, som man bør forbedre - ud over naturligvis at få løst selve sikkerhedsproblemet snarest," siger direktøren.

Læs også: Danske Bank: Sårbarheder er nu rettet.

Læses lige nu

    Annonceindlæg fra Deloitte

    Teknologi i sig selv forandrer ikke noget:

    AI skal væves ind i kultur og processer for at skabe reel forretningsværdi

    Navnenyt fra it-Danmark

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job
    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S