Ajax hield datalek uit 2017 geheim na melding ethisch hacker

In dit artikel:

In 2017 meldde ethische hacker Abdoul Rasnab een groot lek in het ticket­systeem van Ajax, dat toen samenwerkte met Eventim. Hij kon via dat systeem persoonsgegevens van supporters en medewerkers inzien, waaronder informatie over clubicoon Sjaak Swart. Na zijn melding werd hij uitgenodigd voor een gesprek en gedwongen een geheimhoudingsovereenkomst te ondertekenen — een document dat BNR heeft ingezien en dat onder meer door toenmalig algemeen directeur Edwin van der Sar is ondertekend. Rasnab zegt zich daarbij geïntimideerd te hebben gevoeld.

In oktober 2024 zocht hij contact met de club om die eerdere gang van zaken te bespreken; Ajax bood excuses, een seizoenkaart en een vergoeding aan. Dit jaar ontdekte Rasnab opnieuw kwetsbaarheden, nu in systemen van Secutix (waarmee Ajax sinds 2021 werkt). Volgens hem gaven die toegang tot gegevens van seizoenkaarthouders, interne e-mails en informatie over stadionverboden. Bij zijn melding zou Ajax verwezen hebben naar de eerdere geheimhouding en hebben gedreigd met juridische stappen als hij weer toegang zou zoeken of medewerkers zou benaderen.

Rasnab bracht de zaak naar RTL Nieuws; Ajax deed vervolgens aangifte tegen hem en meldde het datalek bij de Autoriteit Persoonsgegevens. Aangiftes tegen ethische hackers zijn zeldzaam: het Openbaar Ministerie hanteert doorgaans het uitgangspunt dat melders in het maatschappelijk belang niet strafrechtelijk worden vervolgd, mits zij binnen noodzakelijke grenzen blijven. Ajax wil inhoudelijk niet reageren en verwijst naar een eerder statement.