I torsdags frygtede fodboldklubben FC Midtjylland, at de havde været ramt af et hackerangreb.
Pressemeddelelsen om, at klubbens træner, Erik Rasmussen, forlader posten efter denne sæson slap nemlig ud til pressen flere timer før, den skulle have været offentliggjort.
Men der havde ikke været nogen hacker på spil. Sikkerheden på klubbens hjemmeside var bare så dårlig, at man ikke behøvede at være hacker for at grave informationerne frem.
En vaks journalist på den lokale avis Dagbladet-Holsebro-Struer fandt ud af, at man ved at udskifte et enkelt tal i hjemmesidens adresse kunne få adgang til materiale, der endnu ikke var offentliggjort.
"Vi vidste, at der skulle være pressemøde, men ikke hvad det gik ud på. Derfor gik jeg ind på klubbens hjemmeside, hvor jeg fandt den seneste nyhed.
Hver nyhed på hjemmesiden har et identifikationsnummer, så jeg erstattede bare nyhedens id-nummer med det næste i rækken," fortæller Morten Strægaard, der er journalist på Dagbladet-Holstebro-Struer.
Han fortæller, at journalisterne på avisen har kendt til sikkerhedsbristet gennem længere tid og, at de derfor har haft adgang til endnu ikke offentliggjort materiale.
Torskedumt
Men i den børsnoterede fodboldklub kendte man ikke problemet.
Det bekræfter Torben Kølbæk, der er pr-chef i FC Midtjylland.
"Vi var slet ikke opmærskomme på problemet, derfor blev vi naturligvis chokerede, da vi opdagede, at nyheden var sluppet ud. Først troede vi, at en hacker havde været på spil," fortæller Torben Kølbæk.
Sikkerhedsekspert: Her er årsagen
Ifølge ekspert i it-sikkerhed Peter Kruse er problemet, at mange virksomheder ikke er opmærksomme på, at mange af de CMS-programmer (Content Managment Systemer), som de bruger til at håndtere deres hjemmeside med, har sådan et sikkerhedsbrist.
"Det er en klassisk fejl, og det er simpelthen torskedumt. Ofte har mange af dem, der bruger programmerne, slet ikke gennemskuet, hvor let det er at få adgang til nyheder, der endnu ikke er offentliggjort," fortæller Peter Kruse.
Peter Kruse opfordrer virksomheder til både at sikre sig, at deres CMS-program ikke giver artiklerne på hjemmesiden let forudsigelige id-numre og, at de bruger et program, der ikke gør artiklerne aktive, før de bliver publiceret på selve hjemmesiden.
Ingen røde ører
FC Midtjylland er registreret på børsen Dansk Autoriseret Markedsplads, og sikkerhedsbristet betød, at nyheden slap ud, før børsen fik besked.
Derfor risikerer FC Midtjylland nu at få en påtale fra Finanstilsynet, skriver Dagbladet-Holstebro-Struer.
FC Midtjyllands pressechef, Torben Kølbæk indrømmer, at man har dummet sig, men han hæfter sig ved, at man hurtigt fik identificeret problemet.
"Vi fandt hurtigt årsagen til problemet, og allerede to timer efter pressemødet fik vi lukket hullet. Derfor kan det ikke ske igen," siger Torben Kølbæk.
Men hvordan kan det være, at en børsnoteret virksomhed ikke har mere styr på sin hjemmeside?
"Der er sket en menneskelig fejl, og det er hammer ærgerligt. Vi kan selvfølgelig godt stå og pege fingre af hinanden bagefter, men det får vi ikke noget ud af. Det her er noget, der kan ske for alle.
Jeg har talt med andre i erhvervslivet, der haft samme problem, men der har ikke været så stor opmærksomhed om det, som i vores tilfælde," siger Torben Kølbæk.
Men når problemet er så udbredt, bør I vel også være opmærksomme på det?
"Jo, men ikke desto mindre kendte vi ikke til problem før i torsdags. Vi har været ude for det en gang før, hvor en nyhed slap ud en time før den blev offentliggjort.
Der kunne vi ikke forstå, hvordan det kunne lade sig gøre. Men denne gang var det hele pressemeddelelsen, der slap ud, og derfor var det ret åbenlyst, at det måtte stamme fra vores hjemmeside," forklarer han.
Har I røde ører nu?
"Nej, ikke mere. Vi havde lidt røde ører i sidste uge, men det var mest af irritation over, at det kunne ske."
