Skat begik sikkerhedsbrøler

En af de mest besøgte offentlige hjemmesider er ramt af et hidtil uset sikkerhedsbrist. I en periode har traceloggen for Skats hjemmeside ligget frit tilgængelig på nettet. Skat erkender fejlen.

I den offentlige forvaltning er åbenhed det helt store mantra. Men man kan også gå for langt. En af de mest besøgte offentlige hjemmesider, Skat.dk, har i en periode haft sin tracelog liggende frit tilgængelig på en åben webserver. Disse logfiler indeholder både tekniske oplysninger om serveren, der kan misbruges til at finde svage punkter i systemet, og informationer om de besøgende på siden.

»Denne slags informationer skal kun være tilgængelige for administratoren. Det skal aldrig ligge på en offentlig server,« siger den svenske sikkerhedskonsulent Dan Egerstad, som rådgiver større virksomheder omkring sikkerhed.

Han vurderer, at it-kriminelle vil kunne finkæmme logfilerne for at finde sikkerhedshuller og andre informationer, der kan misbruges til at trænge ind på serverne.

»Det er simpelthen perfekt for en hacker. Hvis der er den mindste fejl i opsætningen, så kan man udnytte den til at komme ind. Du kan se ip-adresser og cookies for de besøgende, og disse informationer vil kunne anvendes til at overtage deres session,« forklarer Dan Egerstad.

Logfilerne er gemt under en standardadresse på serveren og dermed er det nemt for en hacker at finde filerne, hvis de ligger på serveren uden beskyttelse. Efter henvendelse fra DR har Skat fjernet logfilerne, men ComON har modtaget en række skærmbilleder, som viser de tekniske oplysninger i Skats åbne tracelog.

ComON har bedt sikkerhedsfirmaet eSec om at vurdere indholdet i logfilerne. Og her er konklusionen klar.

»Det er udtryk for dårlig it-sikkerhed at disse trace-filer, der er output fra noget debug der på det aktuelle tidspunkt er slået til, findes tilgængelige,« siger Ole Schmitto, adm. direktør for eSec.

Han tilføjer at der er tale om http trafik til skat.dk, ikke til selvbetjeningsserveren Tastselv, så der er ikke følsomme persondata involveret.

»Der er ikke tale om oplysninger der i sig selv giver mulighed for at hacke serveren eller netværket, men der er tale om oplysninger som fundet i en sikkerhedstest ville blive nævnt som ting der i en situation med en sårbarhed ville gøre det nemmere for en hacker at finde vej ind,« siger Ole Schmitto.

Logfilerne indeholder blandt andet interne adresser, herunder på database-serveren, layout af tabeller i den bagvedliggende database og SQL-kald til basen fra webapplikationen og informationer om versioner af den anvendte software, der kan anvendes til at finde sårbarheder.

Men der er også informationer om de besøgende på hjemmesiden.

»De fem specifikke traces drejer sig hver om en session, altså en udefra der har bedt om en URL, de viser IP-adressen og et request så man kan identificere hvem der har spurgt om hvad på hjemmesiden. Afsenderne tæller en TDC adresse, en søgemaskine, Horsens Kommune, en ADSL på Bornholm og en person/enmandsfirma på Nørrebro,« fortæller Ole Schmitto.

Skat bekræfter overfor ComON, at traceloggen i en periode har været tilgængelig på hjemmesiden. Det gælder dog kun den del af Skat.dk, hvor man finder informationer, vejledninger og nyhedsbreve, og altså ikke den del som omfatter TastSelv løsningerne, hvor borgere eller virksomheder logger sig ind.

»En systemudvikler har i en test-/supportperiode slået traceloggen til på Skat.dk for at kunne finde og rette fejl i anvendelsen af hjemmesiden. Den er beklageligvis ikke blevet slået fra efter test-/supportperioden og har derfor kunnet ses på internettet,« siger Jack Johansen, der er kontorchef hos Skats afdeling for it-arkitektur og sikkerhed.

Han understreger at traceloggen i mellemtiden er blevet fjernet fra hjemmesiden.

»For at undgå lignende misforståelser i fremtiden har Skat valgt at præcisere proceduren for anvendelse af tracelog for at forhindre, at denne kan blive gjort tilgængelig via internettet,« siger Jack Johansen til ComON.

I aften kan du se meget mere om it-kriminalitet og tyveri af personlige oplysninger på DR1. I programmet 'Testen: Det usikre internet' finder værtinde Mette Frisk bla. frem til en af internettets sortbørser, hvor der handles med danske kreditkort. Programmet sendes på DR1 kl 20.30.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo