Breșă de securitate la clubul de fotbal AFC Ajax: Au fost expuse informațiile suporterilor, existând riscul de furt al biletelor și manipularea interdicțiilor de acces pe stadion

Clubul olandez de fotbal AFC Ajax Amsterdam a dezvăluit o breșă de securitate după ce un hacker a obținut acces neautorizat la sistemele interne, iar o anchetă independentă a scos la iveală vulnerabilități care ar putea permite, de asemenea, furtul biletelor și manipularea interdicțiilor de acces pe stadion, potrivit BleepingComputer.

Breșa a fost recunoscută public de clubul Ajax pe 25 martie 2026, la scurt timp după ce jurnalistul olandez Daniël Verlaan de la RTL Nieuws a dezvăluit multiple defecte de securitate în platformele clubului. Potrivit Ajax, intruziunea a implicat un hacker cu sediul în Olanda care a accesat seturi de date limitate, inclusiv nume, adrese de e-mail și date de naștere aparținând a mai puțin de 20 de persoane cu interdicții de acces în stadion.

Cu toate acestea, RTL Nieuws, care a fost informat de un hacker, a demonstrat că vulnerabilitățile din aplicația mobilă și serverele Ajax permiteau utilizatorilor neautorizați să manipuleze conturile. Prin interceptarea și modificarea pachetelor de date, un atacator putea transfera abonamente între conturi fără consimțământ. Într-un test de validare a conceptului, jurnalistul olandez a reușit să reatribuie un abonament aparținând directorului Ajax, Menno Geelen, acordând acces la o zonă VIP pentru un meci de mare anvergură, în câteva secunde.

AFC Ajax este unul dintre cele mai de succes cluburi de fotbal la nivel european, câștigând de patru ori Liga Campionilor UEFA și având 36 de titluri în Eredivisie, liga de fotbal profesionist de top din Olanda.

Clubul are peste 300.000 de fani înregistrați și mai mult de 42.000 de deținători de abonamente. Ecosistemul său digital include aplicații mobile, sisteme de vânzare a biletelor și servicii integrate legate de identitate, ceea ce îl face o țintă de mare valoare pentru atacatorii care urmăresc atât câștiguri financiare, cât și date personale.

Ancheta a descoperit, de asemenea, o vulnerabilitate separată care expunea o listă de 538 de suporteri cu interdicții active de acces în stadion. Aceste date, accesibile prin intermediul unor puncte slab securizate pe serverele clubului, includeau informații personale sensibile și puteau fi modificate de atacatori. Cercetătorii au descoperit că era chiar posibilă revocarea completă a interdicțiilor de acces în stadion.

Ajax a declarat că, în prezent, nu există dovezi că datele accesate au fost distribuite sau utilizate în mod abuziv. Totuși, clubul a recunoscut vulnerabilitățile și a confirmat că au fost angajați experți externi în securitate cibernetică pentru a investiga incidentul. Sistemele afectate au fost reparate între timp, iar clubul a raportat breșa Autorității olandeze pentru protecția datelor și a depus o plângere la poliție.

În ciuda afirmației clubului Ajax că doar un număr limitat de persoane au fost afectate direct, implicațiile mai largi ale vulnerabilităților, în special capacitatea de a fura sau dezactiva bilete și de a modifica datele conturilor, ridică îngrijorări cu privire la potențialul abuz, inclusiv revânzarea pe piețele negre. Reprezentanții organizațiilor de suporteri au criticat conectarea extensivă a datelor personale la sistemele de ticketing, calificând-o ca fiind inutil de riscantă.

Ajax a notificat persoanele afectate și a trimis un e-mail tuturor deținătorilor de bilete ca măsură de precauție, îndemnându-i la vigilență împotriva tentativelor de phishing.

Ancheta RTL a fost în mod clar fără intenții răuvoitoare. De asemenea, accesul limitat al atacatorului și decizia acestuia de a dezvălui defectele prin intermediul mass-media, în loc să le exploateze în scopul obținerii de profit sau al șantajului, sugerează că vulnerabilitățile nu au fost abuzate la scară largă.

Cu toate acestea, rămâne neclar dacă aceasta a fost prima dată când aceste puncte slabe ale sistemelor Ajax au fost descoperite sau exploatate.