Hollanda polisi, AFC Ajax’ın dijital sistemlerini hacklediği ve yüz binlerce futbol taraftarını etkileyebilecek potansiyel güvenlik açıklarını ortaya çıkardığı şüphesiyle 35 yaşındaki bir erkeği tutukladı.
Yetkililer, bu yılın başlarında Ajax sistemlerine yetkisiz erişim üzerine yapılan soruşturmanın ardından Salı sabahı Buren belediyesinde şüpheliyi tutukladı. Soruşturmacılar, adamın 2026 başlarında kulübün altyapısına izinsiz birkaç kez yasa dışı girdiğini söylüyor.
Dava, Hollandalı medya kuruluşları RTL Nieuws ve BNR’nin Ajax’ın uygulama ve bilet sistemlerini etkileyen önemli güvenlik açığları bildirmesinin ardından Mart ayında kamuoyuna açıklandı. Bu raporlara göre, bu güvenlik açıkları 300.000’den fazla kayıtlı Ajax taraftarına ait özel verileri ortaya çıkarmış olabilir.
Soruşturmacılar, saldırganın 42.000’den fazla sezonluk biletle bağlantılı bilgilere eriştiğini söyledi. Bu kusurların, biletleri başka hesaplara aktarmayı veya yetkisiz olarak tamamen devre dışı bırakmayı mümkün kıldığı iddia ediliyor. Güvenlik açıkları ayrıca stadyum yasaklarına tabi olan 538 kişiyle bağlantılı detayları ortaya çıkardı ve raporlar bu yasakların değiştirilebileceğini veya kaldırılabileceğini öne sürüyor.
Ajax, Mart ayında ihlali doğruladı ve sistemlerinin bazı bölümlerinde yetkisiz erişim gerçekleştiğini belirtti. Kulüp, olayı araştırmak, zafiyetleri düzeltmek ve güvenlik korumalarını güçlendirmek için derhal dış siber güvenlik uzmanlarının çağrıldığını belirtti. Ajax ayrıca Hollanda Veri Koruma Otoritesi’ne de bildirdi ve polise şikayet etti.
Şüphelinin, güvenlik kusurlarını gazetecilere bildirdikten sonra eylemlerinin sorumlu ifşa anlamına geldiğini iddia ettiği bildirildi. Ancak Hollanda yetkililer, bu davranışın etik hackleme olarak nitelendirilmediğini savunuyor; çünkü sistemlere izinsiz olarak tekrar tekrar erişilmiş ve zafiyetler önce Ajax’a özel olarak açıklanmamış.
Hollanda sorumlu açıklama yönergelerine göre, etik hackerların genellikle sorunları doğrudan etkilenen kuruluşlara bildirmeleri beklenir ve sorunu göstermek için gerekli olmayan sistemleri sömürmemelidir. Savcılar, Ajax’ın bu zayıflıkların boyutunu ancak medya haberleri ortaya çıktıktan sonra fark ettiğini söylüyor.
Polis, devam eden soruşturma kapsamında şüphelinin evinde yapılan arama sırasında bilgisayarlara, sabit disklere ve diğer dijital depolama cihazlarına el koydu. Yetkililer şimdi çalınan verilerin kopyalanıp dağıtılmadığını, ya da açıklıkları göstermekten öte kullanılıp kullanılmadığını inceliyor.
Ajax, mevcut bulgulara dayanarak, birkaç yüz kişiye ait e-posta adresleri ve stadyum yasakları olan 20’den az kişiye bağlı isimler ve doğum tarihleri dahil olmak üzere yalnızca sınırlı sayıda kişisel verinin erişildiği doğrulandığını belirtti. Kulüp, verilerin daha fazla dağıtıldığına dair şu anda bir kanıt olmadığını belirtti.