BNR: Ajax verzweeg jaren geleden omvangrijk datalek in ticketsysteem

In dit artikel:

BNR meldt dat Ajax jaren geleden een groot datalek in het ticketsysteem heeft verborgen door de ontdekker te laten tekenen voor geheimhouding. Volgens die beveiligingsonderzoeker maakte de kwetsbaarheid toegang mogelijk tot klant- en personeelsgegevens, waaronder van opvallende personen binnen de club. Sinds 1 januari 2016 geldt in Nederland een meldplicht voor ernstige datalekken richting de Autoriteit Persoonsgegevens.

Recentelijk ontdekte dezelfde onderzoeker opnieuw een probleem in Ajax’ systemen — dat volgens tipgevers aan RTL Nieuws gegevens van ongeveer 300.000 geregistreerde supporters en van circa 500 personen met stadionverbod toegankelijk maakte. De gelekte velden zouden namen, e‑mailadressen en geboortedata omvatten; daarnaast bleek het technisch mogelijk seizoenskaarten over te zetten en stadionverboden te wijzigen.

Ajax heeft aangifte gedaan en tegenover BNR zou er ook een aangifte tegen de ontdekker liggen. De club hanteert een Coordinated Vulnerability Disclosure‑beleid waarin staat welke tests zijn toegestaan en hoe meldingen gehonoreerd worden. Het Openbaar Ministerie geeft aan dat bij ethische hacking doorgaans geen strafrechtelijk onderzoek volgt als er sprake is van gecoördineerde melding; de officier van justitie beoordeelt per geval of dat zo is.