Groot datalek bij Ajax: hacker kon stadionverboden aanpassen

In dit artikel:

Ajax is recent het slachtoffer geworden van een hack waarbij persoonsgegevens van supporters zijn gelekt. Van "kleine twintig" mensen met een actief stadionverbod zijn namen, e‑mailadressen en geboortedata ingezien; van enkele honderden anderen alleen het e‑mailadres. In totaal heeft Ajax 538 actieve stadionverboden geregistreerd.

De club heeft het datalek gemeld bij de Autoriteit Persoonsgegevens, in navolging van eerdere grootschalige lekken bij Odido en het ministerie van Financiën. Ajax heeft nog niet uitgelegd hoe de indringer toegang kreeg tot delen van de it‑systemen, maar bevestigt dat ook gegevens zijn aangepast. Getoonde voorbeelden door RTL Nieuws maakten duidelijk dat het mogelijk was seizoenskaarten over te zetten en stadionverboden te wijzigen; op de gelekte lijsten stonden onder meer een politiefunctionaris en een gemeenteambtenaar. Getroffenen zijn persoonlijk geïnformeerd en de kwetsbaarheden zijn inmiddels gedicht.

Onderzoek wijst volgens RTL uit dat zwakke plekken in de app en in gebruikte api’s misbruik mogelijk maakten: administratieve sleutels zouden bloot hebben gelegen, waardoor acties namens andere accounts konden worden uitgevoerd. De Autoriteit Persoonsgegevens en mogelijk justitie zullen hier verder naar kijken; de zaak onderstreept risico’s van onvoldoende beveiligde ticketing‑ en fan‑systemen.