Ajax meldt datalek van e-mailadressen en info over stadionverboden - update

In dit artikel:

Ajax is slachtoffer geworden van een cyberaanval op systemen van de club waarbij persoonlijke gegevens zijn buitgemaakt en een beveiligingslek is ontdekt. Volgens de club gingen de e-mailadressen van “een paar honderd” mensen verloren; daarnaast zijn namen en geboortedata van minder dan twintig mensen met een stadionverbod gelekt. Media melden dat er via het lek mogelijk inzage was in gegevens van honderdduizenden gebruikers en dat de status van 42.000 seizoenskaarthouders aangepast kon worden, maar alleen enkele honderden personen zouden daadwerkelijk zijn getroffen. Of er daadwerkelijk kaarten zijn overgezet of stadionverboden zijn gewijzigd, is nog onduidelijk.

Ontdekker Tweakers meldt dat accounts en tickets via de Ajax-app zonder wachtwoord toegankelijk waren en dat een onbeveiligde API met beheerdersrechten het opvragen en aanpassen van gevoelige gegevens mogelijk maakte — inclusief het opheffen van stadionverboden. Ajax zegt geen aanwijzingen te hebben dat de gegevens verder zijn verspreid. De club heeft aangifte gedaan bij de politie en melding gemaakt bij de Autoriteit Persoonsgegevens, de kwetsbaarheid verholpen en de beveiliging aangescherpt. Getroffenen zijn geïnformeerd en kregen het advies extra waakzaam te zijn voor verdachte e-mails en geen verdachte links of bijlagen te openen.

Gevolgen kunnen onder meer phishing, identiteitsmisbruik en ticketfraude zijn; onderzoek naar de precieze omvang en eventuele misbruikacties loopt nog.