De Nederlandse politie heeft een 35-jarige man gearresteerd die ervan wordt verdacht de digitale systemen van AFC Ajax te hacken en beveiligingslekken bloot te leggen die mogelijk honderdduizenden voetbalfans kunnen treffen.
De autoriteiten arresteerden de verdachte dinsdagochtend in de gemeente Buren na een onderzoek naar ongeautoriseerde toegang tot Ajax-systemen eerder dit jaar. Onderzoekers zeggen dat de man begin 2026 meerdere keren zonder toestemming illegaal de infrastructuur van de club is binnengegaan.
De zaak kwam in maart openbaar naar voren nadat de Nederlandse media RTL Nieuws en BNR grote beveiligingslekken meldden die de app- en ticketsystemen van Ajax beïnvloedden. Volgens die rapporten zouden de kwetsbaarheden privégegevens van meer dan 300.000 geregistreerde Ajax-supporters kunnen blootleggen.
Onderzoekers zeiden dat de aanvaller toegang kreeg tot informatie die verband hield met meer dan 42.000 seizoenkaarten. De gebreken zouden het mogelijk maken om tickets over te zetten naar andere accounts of ze volledig uit te schakelen zonder toestemming. De kwetsbaarheden onthulden ook details die verband hielden met 538 personen die onder stadionbanen vielen, waarbij berichten suggereren dat deze verbanningen mogelijk aangepast of opgeheven zouden kunnen zijn.
Ajax bevestigde de inbreuk in maart en verklaarde dat er ongeautoriseerde toegang had plaatsgevonden binnen delen van zijn systemen. De club zei dat externe cybersecurity-experts onmiddellijk werden ingeschakeld om het incident te onderzoeken, kwetsbaarheden te verhelpen en de beveiligingsbescherming te versterken. Ajax heeft ook de Nederlandse Gegevensbeschermingsautoriteit geïnformeerd en een politieklacht ingediend.
De verdachte beweerde naar verluidt dat zijn handelen neerkwam op verantwoorde onthulling nadat hij journalisten had geïnformeerd over de beveiligingsfouten. Nederlandse autoriteiten stellen echter dat het gedrag niet als ethisch hacken geldt omdat de systemen herhaaldelijk zonder toestemming zijn benaderd en de kwetsbaarheden niet eerst privé aan Ajax zijn bekendgemaakt.
Volgens Nederlandse richtlijnen voor verantwoorde openbaarmaking wordt van ethische hackers over het algemeen verwacht dat ze kwetsbaarheden rechtstreeks melden aan getroffen organisaties zonder systemen te exploiteren die verder gaan dan nodig is om het probleem aan te tonen. Aanklagers zeggen dat Ajax zich pas bewust werd van de omvang van de kwetsbaarheden nadat er media-aandacht aan het licht kwam.
De politie nam computers, harde schijven en andere digitale opslagapparaten in beslag tijdens een doorzoeking van het huis van de verdachte als onderdeel van het lopende onderzoek. De autoriteiten onderzoeken nu of gestolen gegevens zijn gekopieerd, verspreid of gebruikt behalve het aantonen van de kwetsbaarheden.
Ajax verklaarde dat, op basis van de huidige bevindingen, slechts een beperkte hoeveelheid persoonlijke gegevens bevestigd is als geraadpleegd, waaronder e-mailadressen van enkele honderden personen en namen en geboortedata gekoppeld aan minder dan 20 mensen met stadionbans. De club zei dat er momenteel geen bewijs is dat de gegevens verder zijn verspreid.