A polícia holandesa prendeu um homem de 35 anos suspeito de invadir os sistemas digitais do AFC Ajax e expor falhas de segurança que potencialmente afetaram centenas de milhares de torcedores de futebol.
As autoridades prenderam o suspeito na manhã de terça-feira no município de Buren após uma investigação sobre acesso não autorizado aos sistemas Ajax no início deste ano. Os investigadores dizem que o homem entrou ilegalmente na infraestrutura do clube várias vezes no início de 2026 sem permissão.
O caso veio à tona em março após os veículos de mídia holandeses RTL Nieuws e BNR relatarem grandes fragilidades de segurança que afetam o aplicativo e os sistemas de tickets do Ajax. De acordo com esses relatos, as vulnerabilidades podem ter exposto dados privados pertencentes a mais de 300.000 apoiadores registrados do Ajax.
Os investigadores disseram que o agressor teve acesso a informações relacionadas a mais de 42.000 ingressos de temporada. As falhas supostamente tornaram possível transferir tickets para outras contas ou desativá-los totalmente sem autorização. As vulnerabilidades também expuseram detalhes ligados a 538 indivíduos sujeitos a proibições de estádios, com relatos sugerindo que essas proibições poderiam ter sido modificadas ou removidas.
A Ajax confirmou a violação em março e afirmou que ocorreram acessos não autorizados em partes de seus sistemas. O clube informou que especialistas externos em cibersegurança foram imediatamente contratados para investigar o incidente, corrigir vulnerabilidades e fortalecer as proteções de segurança. Ajax também notificou a Autoridade Holandesa de Proteção de Dados e registrou uma denúncia à polícia.
O suspeito teria alegado que suas ações equivaleram a uma divulgação responsável após informar jornalistas sobre as falhas de segurança. No entanto, as autoridades holandesas argumentam que a conduta não se qualifica como hacking ético porque os sistemas foram acessados repetidamente sem autorização, e as vulnerabilidades não foram inicialmente divulgadas de forma privada ao Ajax.
Segundo as diretrizes holandesas de divulgação responsável, espera-se que hackers éticos relatem vulnerabilidades diretamente às organizações afetadas, sem explorar sistemas além do necessário para demonstrar o problema. Promotores dizem que o Ajax só tomou conhecimento da extensão das vulnerabilidades depois que a cobertura da mídia surgiu.
A polícia confiscou computadores, discos rígidos e outros dispositivos digitais de armazenamento durante uma busca na casa do suspeito como parte da investigação em andamento. As autoridades agora estão examinando se algum dado roubado foi copiado, distribuído ou usado além de demonstrar as vulnerabilidades.
O Ajax afirmou que, com base nas descobertas atuais, apenas uma quantidade limitada de dados pessoais foi confirmada como acessada, incluindo endereços de e-mail pertencentes a várias centenas de pessoas e nomes e datas de nascimento ligados a menos de 20 pessoas com proibição de estádios. O clube afirmou que atualmente não há evidências de que os dados tenham sido distribuídos posteriormente.