Ajax heeft in 2017 al te maken gehad met een datalek, zo meldt BNR donderdagmiddag. Dit lek werd ook ontdekt door Abdoul Rasnab, die afgelopen week ook een ander datalek blootlegde bij de Amsterdammers. Via een geheimhoudingsovereenkomst - die onder meer ondertekend werd door Edwin van der Sar - wist de club het verhaal geheim te houden. Rasnab verklaart dat hij in een gesprek met Ajax te maken kreeg met intimidatie en racisme.

Ethische hacker Rasnab ontdekte onlangs dat het bij Ajax mogelijk was om seizoenkaarten te stelen en daarmee wedstrijden te bezoeken. Ook kon hij inzien welke ruim vijfhonderd supporters een stadionverbod hebben, en was het zelfs mogelijk om hun stadionverbod op te heffen. Rasnab bevestigt tegenover BNR dat Ajax inmiddels aangifte heeft gedaan tegen hem.

Rasnab gaf aan dat hij al in 2017 een groot datalek bij Ajax had ontdekt, in de periode dat de club nog samenwerkte met ticketleverancier Eventim. Hij wist destijds binnen te dringen in het ticketsysteem van de club, waardoor hij toegang kreeg tot zowel klant- als personeelsgegevens. Daarbij kon hij onder meer informatie bekijken van bekende clubiconen als Sjaak Swart.

Volgens Rasnab werd hij vervolgens door Ajax onder druk gezet om een geheimhoudingsverklaring te ondertekenen. Dit document werd ook ondertekend door toenmalig algemeen directeur Edwin van der Sar. Laatstgenoemde werd in 2019 ook al door John van 't Schip gewezen op de cyberveiligheid van de club.

Tekst gaat verder onder de foto.

Ajax dreigt met juridische stappen tegen ethische hacker

In de overeenkomst staat onder andere dat Ajax van de ethische hacker verlangt dat hij geen nieuwe pogingen doet om toegang te krijgen tot de systemen van de club, behalve als dit expliciet gebeurt op verzoek van Ajax en/of Eventim. In een bijgevoegde e-mail waarschuwt de club bovendien dat er juridische stappen kunnen volgen als Rasnab toch opnieuw probeert binnen te dringen in de systemen of contact opneemt met medewerkers van Ajax.

'Ik werd een kamertje ingestuurd. Geen normaal gesprek, geen waardering. In plaats daarvan: grensoverschrijdend gedrag, intimidatie en racistische uitlatingen die ik nooit vergeet', vertelt Rasnab tegenover BNR over hoe Ajax destijds contact zocht. 'Mij werd letterlijk gezegd dat geen rechter een "kut-Marokkaan" gaat geloven. "Wij zijn Ajax, we hebben genoeg middelen", was de boodschap. Ik was jong. Ik voelde die druk. Ik tekende, niet omdat het klopte, maar omdat ik dacht dat ik geen keuze had', zo valt er te lezen.

Rasnab ging in oktober 2024 opnieuw naar Ajax om aan te geven dat hij de handelswijze van de club als onprettig ervoer. Daarop ontving hij excuses. Verder kreeg hij van Ajax een seizoenskaart en een onkostenvergoeding voor zijn eerdere hulp.

Abdoul Rasnab brengt opnieuw gevoelige informatie aan het oppervlak

Eerder dit jaar stuitte Rasnab opnieuw op kwetsbaarheden in de ticketsystemen van Ajax, dat sinds 2021 samenwerkt met Secutix. Hij kreeg niet alleen toegang tot gegevens van seizoenkaarthouders, maar ook tot gevoelige informatie zoals interne e-mails en registraties van stadionverboden. De bevindingen deed hij tijdens een onderzoek naar digitale beveiliging bij meerdere Eredivisieclubs, waarbij Ajax volgens hem het slechtst scoorde.

Toen hij de club hierover informeerde, kreeg Rasnab de indruk dat zijn waarschuwingen niet serieus werden genomen. Ajax verwees hem zelfs naar een eerdere geheimhoudingsafspraak die hem verbiedt opnieuw in te breken of contact op te nemen met medewerkers. Uiteindelijk besloot hij zijn bevindingen met de pers te delen, waarna Ajax aangifte heeft gedaan.