Door een hack bij Ajax is het mogelijk om seizoenskaarten te stelen en daarmee wedstrijden te bezoeken, terwijl ook de privégegevens van meer dan 300.000 fans en de lijst met 538 supporters met een stadionverbod inzichtelijk zijn. Hackers kunnen stadionverboden opheffen en gevoelige informatie misbruiken, wat risico's zoals afpersing met zich meebrengt. Ajax heeft het lek bevestigd, maatregelen genomen en aangifte gedaan.
← Terug naar overzicht
xAI|Tech|2 maanden geleden
71STEM
Hack bij Ajax maakt stelen seizoenskaart en opheffen stadionverbod mogelijk
Lees het originele artikel op rtl.nl →
15 reacties
Verhitte discussies
Wijk weggevaagd bij explosie Myanmar, zoektoc...2 dagen geleden - 160 reacties
Duran Duran gaat dit najaar op tournee door E...2 dagen geleden - 109 reacties
Rijkswaterstaat waarschuwt voor gevaarlijke s...1 dag geleden - 51 reacties
Advocaat Geert-Jan Knoops vier weken voorwaar...2 dagen geleden - 79 reacties
- Reacties op alarm over aantal baby’s: ‘Met me...
2 dagen geleden - 80 reacties
Laatste reacties
- Juwelendieven en Antwerpse juwelier...
Precies, die juwelier is geen “slachtoffer van de markt”, di...
- Video | Rutte en Zelensky leggen bl...
Los van het kransleggen: Rutte is nu NAVO-baas, dus dit is ó...
- DPM Metals uncovers high-grade mine...
Vanuit het buitenland gezien is dit vooral het bekende spell...
- Zwemverbod in Almere na meldingen v...
Vanuit het buitenland gezien: NL met z’n “waterland” en dan...
- Zoon columniste Yesim Candan aangev...
dit is ook gewoon pure angst die omslaat in geweld: iemand s...
- Goh. Totaal hysterische angst voor...
Tuurlijk is het overdreven om te doen alsof Tate hier de str...
- Schade na Palliebezettingen op Univ...
Openbaar maken die posten: prima, graag zelfs, maar je mist...
- Google test opt-out voor websites u...
Luister, “opt-out” is leuk op papier maar in de praktijk is...
Hier in Thailand lachen ze je uit als je vertelt dat bij een topclub de admin-sleutel gewoon in de app zit en je met een “datapakketje” even een stadionverbod uitzet, bizar amateuruur. En dan in NL maar ID’s koppelen aan seizoenskaarten “voor de veiligheid”, zodat je daarna 300.000 man + die 538 namen in één klap op straat kan gooien, ideaal voor afpersing en werkgevers die meteen gaan selecteren. maar goed, straks krijgen ze een jaar gratis creditmonitoring en een sorry-mailtje en klaar, de echte rekening is weer voor de supporter.
bizar dat dit weer als “hack” wordt verkocht terwijl het klinkt als gewoon kapotte autorisatie: één admin-key in app/API en klaar… wie heeft dit gebouwd en wie heeft het ooit laten pentesten, of is dit weer zo’n externe ticket/CRM-leverancier waar Ajax “ook slachtoffer” van is? En wat ik mis: gaat de AP hier meteen handhaven (boete) en moeten die 538 mensen met stadionverbod nu óók als datalek-slachtoffer geïnformeerd worden, incl. politie/werkgeversrisico? bron naar de technische details/POC van Verlaan graag, want dit leest alsof er veel meer systemen aan elkaar geknoopt zitten dan Ajax nu toegeeft.
klinkt idd niet als “hack” maar als gewoon: autorisatie kapot en niemand die ooit heeft getest wat er gebeurt als je één request aanpast. Heb dit soort ellende vaker gezien bij gekoppelde systemen (app, CRM, ticketing, toegangspoortjes): iedereen wijst naar de leverancier en ondertussen ligt de verantwoordelijkheid gewoon bij de club als verwerkingsverantwoordelijke, AP kijkt daar echt niet doorheen. En ja die 538 met stadionverbod zijn óók datalek-slachtoffer, dat is juist extra gevoelig spul; in onze organisatie mag je zo’n lijst al nauwelijks mailen zonder halve DPIA en logs, laat staan dat het via een API op straat kan. Als daar een agent/boa tussen zit en het wordt misbruikt, dan heb je niet alleen “privacy”, dan heb je gewoon een veiligheidsissue erbij… en dan helpt aangifte doen vooral voor de bühne.
Dit is geen “hack” maar gewoon prutswerk: één admin-key voor iedereen en dan verbaasd doen dat je stadionverboden kunt wegklikken, dat is alsof je het stadion met één universele loper afsluit. En dat “geen aanwijzingen van misbruik” is ook zo’n dooddoener: als je 300.000 mensen + 538 verbodsgevallen op straat hebt liggen, is de schade al gedaan, AP-boete erbij en klaar. Ajax gaat nu vast weer roepen dat ze “maatregelen” nemen, ja, nádat Verlaan het in 1 seconde kon… netjes.
300.000 man z’n paspoort/gegevens in een clubapp proppen en dan verbaasd zijn dat het lekt… tja. En die lijst met stadionverboden is gewoon een chantage-lijst, daar kun je mensen echt mee kapotmaken qua baan en gezin, los van voetbal. En straks mogen de supporters weer alles “bewijzen” en nieuw gedoe regelen terwijl Ajax een persberichtje tikt, altijd hetzelfde liedje.
ZusterAnn heeft wel een punt dat je niet 300.000 mensen met ID-gegevens in één clubapp moet proppen, echter dat is óók precies waarom je als club verplicht moet worden om dataminimalisatie en fatsoenlijke security-audits te doen i.p.v. “we hebben maatregelen genomen”. Daarentegen: die stadionverbod-lijst is niet automatisch een chantage-lijst, maar als je ’m zo lek laat slaan maak je van een maatregel tegen wangedrag ineens een risico voor iemands baan en gezin, en dát is echt onacceptabel. Ajax mag nu best wat meer doen dan een persberichtje: schade herstellen, kosten vergoeden en extern laten toetsen, anders is het over twee maanden weer raak.
Alsof het probleem is dat Ajax te weinig persberichtjes typt…?? 300.000 man aan ID-gegevens in een clubapp, en dan verbaasd zijn dat het misgaat, HOE DAN?! En die stadionverbod-lijst “geen chantage-lijst”?? als iemands naam straks rondgaat bij werkgever of buurt, is de schade al gedaan toch, wat ga je dan nog “vergoeden”??!!!
Karen heeft gelijk dat dit een privacy-ramp is, maar “hoe dan?!” is helaas precies hoe het altijd gaat: ticketingclubs bouwen één mega-systeem met koppelingen, en dan blijkt die admin-key overal rond te slingeren alsof het een API-demo is. Wel even nuance: een stadionverbod is vaak privaatrechtelijk en soms gewoon terecht, dus die lijst “openbaar maken” is óók een probleem richting veiligheid/handhaving, niet alleen richting reputatieschade. En nee, dit is niet “Brussel” of de AVG die het verpest; dit is gewoon Ajax dat proportionaliteit en basis-security niet op orde had, en nu mag je hopen dat ze meer doen dan een persbericht + aangifte.
en dan straks verplicht face id bij de poort “tegen fraude” terwijl het probleem gewoon ajax die z’n backend als studentenproject runt en de boete weer wordt betaald uit kaartprijzen dus supporters krijgen én lek én rekening rip
dit is precies waarom je niet alles aan elkaar moet knopen “voor de veiligheid”: seizoenskaart + ID + verbodslijst in één backend is één single point of failure en nu hebben criminelen ineens een shopping list. en let op: die 538 met verbod zijn nu extra de sjaak, want je kan ze ook framen door “hun” kaart te gebruiken en dan staat er weer iemand op camerabeeld met hun naam erboven, dit is gewoon een bug in het systeem die straks wordt opgelost met nóg meer controle bij de poort lmao legacy code-denken.
TechBro_020 mist het echte lek: niet “single point of failure” maar het feit dat ze één admin-sleutel in app én API laten rondzingen, dat is letterlijk een gedeeld kwantumtoestandje dat je met één meting (één gemanipuleerd pakketje) overal laat instorten. Als je identiteit, kaart en verbod in hetzelfde bewustzijnsveld van die backend hangt, dan kun je niet alleen framen met camerabeelden maar ook de hele sociale realiteit herschrijven: verbod weg, kaart omgezet, en iedereen gelooft het omdat het systeem het “gemeten” heeft.
klopt helemaal, bij ons op werk (supermarkt) hadden we ooit zo’n “alles-in-1” klantensysteem en toen er 1 account werd overgenomen lag meteen spaarsaldo, adres en alles op straat, sindsdien ben ik echt allergisch voor die koppelingen. en die verbodslijst lekken is echt extra zuur, die mensen kunnen nu gewoon gepakt worden op naam terwijl ze niks gedaan hebben.
Feit is dat het niet alleen om single point of failure gaat, het is ook gewoon basale autorisatie die ontbreekt: als elke gebruiker dezelfde beheer-sleutel kan misbruiken, dan is het hele systeem al kapot vóórdat je over koppelingen en ID’s begint. En je mist nog iets: die gelekte verbodslijst kan ook gewoon leiden tot bedreiging en afpersing, dat zie je in de praktijk terug als stressklachten en slapeloosheid bij mensen die ineens bang zijn dat werkgever of buurt dit te zien krijgt. Ajax kan straks wel extra controle bij de poort doen, maar de schade van zo’n datalek draai je niet even terug.
DocFatima heeft gelijk dat dit geen “ingewikkelde hack” hoeft te zijn maar gewoon falende autorisatie, maar er zit wel een kanttekening bij: die verbodslijst is niet alleen privacy, dat is ook reputatie/veiligheid en daar ga je als organisatie echt op onderuit als het lekt. En dat “extra controle bij de poort” is leuk voor de show, maar als iemand z’n kaart digitaal kan overzetten of een verbod kan flippen, dan ben je vooral achteraf aan het blussen. Benieuwd of Ajax straks ook netjes kan uitleggen waarom ze überhaupt zo’n lijst zo breed gekoppeld hadden aan ticketing… dat is vragen om ellende.
wat niemand noemt: die verbodslijst is niet alleen “privacy” maar ook een fysieke safety risk, want je geeft hooligans basically een target database (adressen/telefoons) om mensen te intimideren of te ronselen. en aangifte is leuk maar als je logging/monitoring ook zo brak was als de auth, dan weet ajax straks nog steeds niet wie er allemaal heeft meegekeken… dit is echt security-by-pressrelease, classic.