Was het hacken bij Ajax of gewoon broncodes lezen?

In dit artikel:

Abdoul Rasnab, een 35-jarige securityonderzoeker en oprichter van AquaX, ontdekte deze lente een reeks ernstige beveiligingsproblemen in de officiële Ajax-app en bij bijbehorende systemen. In maart doorzocht hij de app en vond via zichtbaar meegeleverde bronbestanden en onderschept netwerkverkeer meerdere “hoofdsleutels” en API-sleutels die toegang gaven tot ticketing, identiteitssystemen, stadionverboden en andere beheerfuncties. Rasnab stelt dat hij geen brute-force-hacks gebruikte maar vooral de door een browser gedownloade bestanden bekeek en geautomatiseerde tools liet zoeken naar verborgen sleutels en interne URL’s.

Concreet kon hij 538 actieve stadionverboden bekijken, barcodes en tickets opvragen via het TixNGo-systeem en zelfs een ticket van algemeen directeur Menno Geelen kort doorverkopen (wat hij direct ongedaan maakte). Hij zag waar Geelen bij thuiswedstrijden zat, vond dat dertien mensen met stadionverbod toch werkende seizoenkaarten hadden en ontdekte persoonsgegevens van ongeveer 300 fans die al zeven jaar publiek toegankelijk waren. In totaal rapporteerde hij aan Ajax meer dan 37 kwetsbaarheden; naar eigen zeggen waren sommige gevoelige sleutels al sinds 2019 onveranderd aanwezig.

Ajax maakte bezwaar tegen zijn handelswijze en deed aangifte. Op dinsdag 26 juni werd Rasnab aangehouden op verdenking van computer-huisvredebreuk. De politie oordeelt dat hij niet als ethische hacker kan worden aangemerkt: hij dook meerdere keren en langdurig (ongeveer 55 uur volgens de politie) in systemen, en had in 2017 al een lek gemeld waarna hij contractueel had afgesproken geen systemen van Ajax meer te testen. Jurisprudentie wijst er bovendien op dat herhaald testen zonder opdracht door een rechter als disproportioneel en mogelijk strafbaar kan worden gezien.

Rasnab verdedigt zijn aanpak als responsible disclosure en zegt Ajax uitgebreid te hebben geïnformeerd; hij vond echter dat de club niet snel genoeg de fans beschermde en dat aanvankelijk alleen het spelersportaal offline ging. Uit frustratie maakte hij de zaak publiek. Ajax zegt de lekken te hebben aangepakt en de beveiliging te hebben versterkt, maar benadrukt dat de onderzoeksmethodes onrechtmatig waren.

Deze zaak illustreert de spanning tussen cyberonderzoek in het publieke belang en de juridische grenzen van ongeautoriseerde toegang: het melden van kwetsbaarheden beschermt burgers niet automatisch tegen vervolging wanneer toestemming ontbreekt of contractuele afspraken zijn overtreden.