Die niederländische Polizei hat einen 35-jährigen Mann festgenommen, der verdächtigt wird, die digitalen Systeme von AFC Ajax gehackt und Sicherheitslücken aufgedeckt zu haben, die potenziell Hunderttausende Fußballfans betreffen könnten.
Die Behörden nahmen den Verdächtigen am Dienstagmorgen in der Gemeinde Buren fest, nachdem Anfang dieses Jahres eine Untersuchung des unbefugten Zugriffs auf Ajax-Systeme durchgeführt worden war. Ermittler sagen, dass der Mann Anfang 2026 mehrfach ohne Erlaubnis illegal die Infrastruktur des Clubs betreten hat.
Der Fall wurde im März öffentlich, nachdem die niederländischen Medien RTL Nieuws und BNR von schwerwiegenden Sicherheitslücken berichtet hatten, die die App und das Ticketsystem von Ajax betreffen. Laut diesen Berichten könnten die Schwachstellen private Daten von mehr als 300.000 registrierten Ajax-Anhängern freigelegt haben.
Ermittler sagten, der Angreifer habe Zugang zu Informationen erhalten, die mit über 42.000 Dauerkarten in Verbindung stehen. Die Mängel sollen es ermöglicht haben, Tickets auf andere Konten zu übertragen oder sie ohne Genehmigung vollständig zu deaktivieren. Die Schwachstellen offenbarten auch Details zu 538 Personen, die von Stadionsperren gesperrt wurden, wobei Berichte darauf hindeuten, dass diese Verbote möglicherweise geändert oder aufgehoben worden sein könnten.
Ajax bestätigte die Sicherheitslücke im März und erklärte, dass unbefugter Zugriff in Teilen seiner Systeme stattgefunden habe. Der Club sagte, dass externe Cybersicherheitsexperten sofort hinzugezogen wurden, um den Vorfall zu untersuchen, Schwachstellen zu beheben und den Sicherheitsschutz zu stärken. Ajax informierte außerdem die niederländische Datenschutzbehörde und erstattete eine Anzeige bei der Polizei.
Der Verdächtige behauptete Berichten zufolge, sein Handeln sei eine verantwortungsvolle Offenlegung gewesen, nachdem er Journalisten über die Sicherheitslücken informiert hatte. Niederländische Behörden argumentieren jedoch, dass das Verhalten nicht als ethisches Hacking gilt, da die Systeme wiederholt ohne Genehmigung zugegriffen wurden und die Schwachstellen nicht zuerst privat an Ajax weitergegeben wurden.
Nach niederländischen Richtlinien für verantwortungsvolle Offenlegung wird von ethischen Hackern im Allgemeinen erwartet, dass sie Schwachstellen direkt an betroffene Organisationen melden, ohne Systeme über das Notwendige hinaus auszunutzen, um das Problem nachzuweisen. Staatsanwälte sagen, Ajax sei erst nach Medienberichterstattung über das Ausmaß der Schwachstellen informiert worden.
Die Polizei beschlagnahmte Computer, Festplatten und andere digitale Speichergeräte während einer Durchsuchung des Hauses des Verdächtigen im Rahmen der laufenden Ermittlungen. Die Behörden untersuchen nun, ob gestohlene Daten kopiert, verteilt oder über die Nachweis der Schwachstellen hinaus verwendet wurden.
Ajax erklärte, dass basierend auf aktuellen Ergebnissen nur eine begrenzte Anzahl personenbezogener Daten als abgerufen bestätigt wurde, darunter E-Mail-Adressen von mehreren hundert Personen sowie Namen und Geburtsdaten, die mit weniger als 20 Personen mit Stadionsperren verbunden sind. Der Verein erklärte, es gebe derzeit keine Hinweise darauf, dass die Daten weiter verbreitet wurden.