Søg

Iværksætter afslører brist hos ATP og Danske Bank

Både ATP og Danske Banks hjemmesider indeholder alvorlige sårbarheder, afslører 27-årig iværksætter.

03. december 2010 kl. 10.59
Artikel top billede

Foto: Torben Klint

Kristian Hansen Kristian Hansen

Læs også: Danske Bank: Sårbarheder er nu rettet.

En af landets største banker, Danske Bank, og pensionsvirksomheden ATP, som næsten alle danskere er tilknyttet, har alvorlige sårbarheder i deres hjemmesider.

Det oplyser iværksætteren Anders Skovsgaard, der netop har stiftet firmaet Hackavoid.

Han har lavet en scanner, der afslører de ømme steder på hjemmesider.

Og dommen over ATP og Danske Bank er hård. Du kan se Danske Banks svar på kritikken her.

"ATP er sårbar overfor cross site scripting. I ATP's tilfælde er sårbarheden meget alvorlig, da den er på samme domæne, hvor al brugeraktivitet foregår," siger Anders Skovsgaard.

Konsekvensen kan i yderste konsekvens være, at alt brugerindhold trækkes ud, hvis en bruger følger et specielt udformet link samtidig med, han er logget ind.

Det gælder for eksempel session-cookies eller tekst på siden, forklarer Anders Skovsgaard.

Personfølsomme data

Hvor alvorlige anser du sårbarhederne for at være?

"Meget alvorlige, da Atp.dk indeholder personfølsomme data, som kan udtrækkes af ondsindede," siger Anders Skovsgaard.

På en skala fra 1 til 5, hvor fem er yderst kritisk, og et er mindre kritisk, placerer Anders Skovsgaard ATPs sårbarheder til fire.

"Det skyldes, at det er oplagt at udnytte denne type sårbarheder på sider, hvor der er brugerlogin og følsomme oplysninger," siger Anders Skovsgaard.

Franarres oplysninger hos Danske Bank

Også på Danske Banks hjemmeside er den gal.

"På www.danskebank.dk fandt scanneren flere sårbarheder af typen cross site scripting. Det er en sårbarhed, der ofte bliver overset af udviklerne, og mange kender ikke alvoren af alle de muligheder, der er for udnyttelse," siger Anders Skovsgaard.

Generelt kan cross site scripting udnyttes til at udtrække session-cookies og dermed blive logget ind som en anden bruger, forklarer Anders Skovsgaard.

"Eller der kan udlæses data, der ellers kun var tiltænkt en anden bruger. Dermed kan der også udføres requests på vegne af en anden bruger, selvom der er beskyttelse mod Cross Site Request Forgery," siger han.

I Danske Banks tilfælde foregår der ikke brugerlogin på selve danskebank.dk, og dermed er der kun risiko for, at en CMS-administrationskonto bliver overtaget, forklarer Anders Skovsgaard.

"En anden måde at udnytte sårbarheden på danskebank.dk vil være at lokke brugere ind på danskebank.dk med et specielt konstrueret link."

"Dermed kan siden udformes, som en angriber ønsker det - for eksempel kunne der tilbydes at downloade et program eller laves en formular til indtastning af kreditkortoplysninger. Alt sammen kontrolleret af angriberen," siger Anders Skovsgaard.

Han anser sårbarhederne for en troværdig hjemmeside som danskebank.dk som rimelig alvorlig.

"De bør bruge meget energi på at lukke denne type sårbarheder, da besøgende kan blive franarret følsomme oplysninger, eller få malware installeret," siger han.

Anders Skovsgaard giver sårbarhederne tallet 3 på skalaen fra et til fem.

"Der ikke er brugerlogin på domænet - det foregår på andre subdomæner udenfor browserens Same-Origin Policy. Dog øger det alvoren af sårbarheden, at det er en bank-hjemmeside," siger Anders Skovsgaard.

Munkedal: Det er alvor
Hos det etablerede it-sikkerhedsfirma Fortconsult er direktør Ulf Munkedal enig i, at sårbarhederne er alvorlige.

"Ja, det er helt sikkert sikkerhedsproblemer, som de to virksomheder bør få løst," siger han.

Cross Site Scripting (XSS) sårbarheder kan bruges til at angribe eller narre en virksomheds kunder, og derfor bør de generelt løses snarest muligt, forklarer Ulf Munkedal.

"Virksomheder i den finansielle sektor bør tage XSS-sårbarheder mere alvorligt, da de oftere end andre typer virksomheder er udsat for phising-angreb og lignende, som netop er rettet mod deres kunder," siger han.

Ulf Munkedal forklarer, at XSS-sårbarheder opstår typisk på grund af manglende fokus på input-validering i udviklingsfasen.

"Derfor kan XSS-sårbarheder betyde, at der er noget generelt i virksomhedens arbejdsprocesser omkring udvikling af applikationer, som man bør forbedre - ud over naturligvis at få løst selve sikkerhedsproblemet snarest," siger direktøren.

Læs også: Danske Bank: Sårbarheder er nu rettet.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Udsolgt succes rykker i større rammer og offentliggør stjerneprogram

    Annonceindlæg fra Computerworld

    Udsolgt succes rykker i større rammer og offentliggør stjerneprogram

    Computerworlds Cloud & AI Festival tager konsekvensen af sin egen succes

    Capgemini Danmark A/S

    Open Application (Denmark)

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Analytiker til Security Operations Center i Cyberdivisionen

    Københavnsområdet

    Netcompany A/S

    Linux Operations Engineer

    Københavnsområdet

    TV2

    Erfaren leder til Finance og People & Culture teknologi i TV 2

    Fyn

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Pentos har pr. 2. juni 2025 ansat Erik Ebert som Country Manager. Han skal især beskæftige sig med udvidelsen af Pentos til Danmark og Norden. Det kræver bl.a. etablering af et lokalt leverance team og SAP Partnerskab. Han kommer fra en stilling som Senior Director hos Effective People. Han har tidligere beskæftiget sig med HR systemer baseret på SAP SuccessFactors hos en række danske større og mellemstore virksomheder. Nyt job

    Erik Ebert

    Pentos

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Guide: Her er de fire greb der gør Claude og ChatGPT meget skarpere
    2 Nye hacker-metoder breder sig - og det har ramt CEO Claus Holmgaard efter angreb: "Jeg er paranoid for tiden," siger han
    3 Kapitalfond erkender pres på Itm8: “Markedet har udviklet sig lidt mere afdæmpet end forventet”
    4 Morgen-briefing: Region Syddanmark oplever it-problemer: Hospital går analog / Vicedirektør stopper i Statens It / Domstol: AI er ikke fyringsgrund / SAP med to opkøb på én dag
    5 En af de største cyberfirmaer har fået lænset kildekode-depot: Omsætter for tocifret milliardbeløb
    6 Windows-opdatering fra april volder problemer: Microsoft bekræfter fejl
    7 GlobalConnects topchef Martin Lippert træder tilbage efter 13 år på posten: Her er hans afløser
    8 Danfoss og SDU lancerer lige nu den nye danske supercomputer Bitten i Sønderborg

    Se seneste uge