La polizia olandese ha arrestato un uomo di 35 anni sospettato di aver hackerato i sistemi digitali dell’AFC Ajax e di aver messo in luce falle di sicurezza che potrebbero aver colpito centinaia di migliaia di tifosi di calcio.
Le autorità hanno arrestato il sospetto martedì mattina nel comune di Buren a seguito di un’indagine su accessi non autorizzati ai sistemi Ajax all’inizio di quest’anno. Gli investigatori affermano che l’uomo è entrato illegalmente più volte nelle infrastrutture del club all’inizio del 2026 senza permesso.
Il caso è emerso pubblicamente a marzo dopo che i media olandesi RTL Nieuws e BNR hanno segnalato gravi debolezze di sicurezza che riguardano le app e i sistemi di biglietteria di Ajax. Secondo quei rapporti, le vulnerabilità potrebbero aver esposto dati privati appartenenti a oltre 300.000 sostenitori registrati dell’Ajax.
Gli investigatori hanno detto che l’aggressore ha avuto accesso a informazioni collegate a oltre 42.000 abbonamenti stagionali. I difetti avrebbero reso possibile trasferire i ticket su altri account o disabilitarli completamente senza autorizzazione. Le vulnerabilità hanno anche rivelato dettagli legati a 538 persone soggette a divieti di stadio, con rapporti che suggeriscono che tali divieti potrebbero essere stati modificati o rimossi.
Ajax ha confermato la violazione a marzo e ha dichiarato che si sono verificati accessi non autorizzati in alcune parti dei suoi sistemi. Il club ha riferito che esperti esterni di cybersecurity sono stati chiamati immediatamente per indagare sull’incidente, correggere vulnerabilità e rafforzare le protezioni di sicurezza. Ajax ha inoltre informato l’Autorità Olandese per la Protezione dei Dati e ha presentato una denuncia alla polizia.
Il sospetto avrebbe affermato che le sue azioni equivalevano a una divulgazione responsabile dopo aver informato i giornalisti delle falle di sicurezza. Tuttavia, le autorità olandesi sostengono che tale comportamento non sia considerato hacking etico perché i sistemi sono stati ripetutamente consultati senza autorizzazione e le vulnerabilità non sono state prima divulgate privatamente ad Ajax.
Secondo le linee guida olandesi sulla disclosure responsabile, gli hacker etici sono generalmente tenuti a segnalare le vulnerabilità direttamente alle organizzazioni interessate senza sfruttare i sistemi oltre quanto necessario per dimostrare il problema. I pubblici ministeri affermano che Ajax è venuto a conoscenza dell’entità delle vulnerabilità solo dopo la diffusione della copertura mediatica.
La polizia ha confiscato computer, hard disk e altri dispositivi di archiviazione digitale durante una perquisizione nella casa del sospetto nell’ambito dell’indagine in corso. Le autorità stanno ora esaminando se dati rubati siano stati copiati, distribuiti o utilizzati oltre la dimostrazione delle vulnerabilità.
Ajax ha dichiarato che, sulla base delle attuali scoperte, solo una quantità limitata di dati personali è stata confermata come accessibile, inclusi indirizzi email appartenenti a diverse centinaia di individui e nomi e date di nascita legati a meno di 20 persone con divieti di accesso agli stadi. Il club ha affermato che attualmente non ci sono prove che i dati siano stati ulteriormente distribuiti.