Ajax reageert op datalek en systeemkwetsbaarheden
Voetbalclub Ajax is getroffen door een datalek waarbij niet alleen persoonlijke gegevens zijn ingezien, maar ook diepgaande kwetsbaarheden in het softwaresysteem aan het licht zijn gekomen. Een journalist slaagde erin aan te tonen dat stadionverboden konden worden aangepast en wedstrijdkaarten op andermans naam konden worden gezet.
De club uit Amsterdam kwam het lek zelf op het spoor nadat een hacker op onrechtmatige wijze toegang had verkregen tot de systemen. Kort daarna legde een journalist bloot hoe ernstig de beveiligingsfouten werkelijk waren. Ajax heeft inmiddels melding gemaakt bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie.
Gevoelige gegevens op straat
Uit onderzoek van de club blijkt dat de schade qua persoonsgegevens vooralsnog beperkt lijkt, maar de aard van de gelekte informatie is pikant. Van enkele honderden personen zijn de e-mailadressen ingezien. Ernstiger is de situatie voor een groep van minder dan twintig personen met een stadionverbod: van hen zijn de volledige namen, e-mailadressen en geboortedata bekeken.
Manipulatie van systemen
De meest opvallende onthulling betreft de technische controle over het ticketingsysteem. De journalist die het lek onderzocht, bewees dat het mogelijk was om:
- Wedstrijdkaarten over te zetten naar andere personen.
- Stadionverboden aan te passen of mogelijk te verwijderen in het systeem.
Ajax benadrukt dat de lekken inmiddels gedicht zijn met hulp van externe beveiligingsexperts. Er zijn op dit moment geen aanwijzingen dat de ingeziene data verder zijn verspreid op het internet of het 'dark web'.
"Alertheid geboden"
Hoewel Ajax de direct betrokkenen inmiddels persoonlijk heeft geïnformeerd, adviseert de club alle supporters om extra alert te zijn op phishing-pogingen en verdachte e-mails. "Wij bieden onze oprechte excuses aan voor deze gebeurtenissen en het eventuele ongemak," laat de club weten in een verklaring. Supporters met vragen kunnen terecht bij de afdeling Fancare van de club.
