Ajax heeft via de officiële kanalen medegedeeld dat er sprake is van een datalek bij de club. RTL Nieuws deed eerder onderzoek en constateerde dat het door een hack mogelijk is om seizoenkaarten te stelen en daarmee wedstrijden te bezoeken. Ook is te zien welke ruim vijfhonderd supporters een stadionverbod hebben, terwijl het zelfs mogelijk is om hun stadionverbod op te heffen.

De hack maakt het mogelijk om privégegevens van de meer dan 300.000 geregistreerde Ajax-fans in te zien en de ruim 42.000 seizoenkaarten te stelen of onbruikbaar te maken. De seizoenkaarthouder zelf kan niets doen tegen het stelen. De kaart verdwijnt immers plotseling uit het account en kan niet meer worden gebruikt.

Ajax bevestigt tegenover RTL Nieuws te zijn gehackt en dat het getroffen supporters - zowel waarvan seizoenkaarten zijn gestolen als degenen met een stadionverbod - op de hoogte gaat stellen. Er zijn ook maatregelen genomen om de digitale beveiliging aan te scherpen.

Tekst gaat verder onder de foto.

RTL Nieuws laat op zijn website zien hoe het de seizoenkaart van Ajax-directeur Menno Geelen kon stelen via de hack. Het medium zette de seizoenkaart van Geelen op naam van RTL-journalist Daniël Verlaan. 'Binnen een seconde was dit geregeld en hadden we een kaart die toegang geeft tot een plek op de eretribune, vak 106 om precies te zijn, voor de aankomende wedstrijd Ajax - PSV op 2 mei', wordt geschreven.

Met het ticket heeft de journalist plots toegang tot de VIP-bestuursbox en The Captain's Club, een exclusieve club waar alleen genodigden toegang tot hebben. 'Na melding door RTL Nieuws heeft Ajax het ticket weer teruggehaald naar het account van Geelen.'

Ajax doet aangifte, directeur Menno Geelen komt met reactie

Ajax heeft inmiddels aangifte gedaan, zo valt te lezen. Namens de club reageert Geelen op het nieuws. 'Er zijn kwetsbaarheden in een aantal van onze systemen blootgelegd', stelt de directeur. 'Het is voor onze supporters en de club heel vervelend dat dit is voorgevallen. Wij hebben direct externe expertise ingeschakeld en zijn samen een onderzoek gestart naar de oorzaak en de omvang.'

Tekst gaat verder onder de foto.

'Daarnaast hebben we onze beveiliging verder aangescherpt en zijn de bekende lekken gedicht. Ook hebben wij melding bij de Autoriteit Persoonsgegevens en aangifte gedaan', vervolgt Geelen. 'Wat betreft het onrechtmatig kunnen doorzetten van kaarten en inzage in stadionverboden weten we nu dat dat niet meer mogelijk is op de manier zoals door jullie onderzoek is aangetoond.'

'Ondanks dat de omvang van het aantal mensen dat getroffen is beperkt lijkt, hebben wij niet alleen hen, maar álle kaarthouders een e-mail gestuurd om hen te attenderen op dit voorval, excuses aan te bieden en gevraagd alert te zijn en te blijven op verdachte e-mails', aldus de beleidsbepaler van Ajax. 'Daarnaast hebben wij de KNVB en andere clubs geïnformeerd over dit voorval om het niveau van alertheid nog verder te verhogen.'

'Wij kunnen ons voorstellen dat onze supporters zich nu afvragen of hun gegevens wel veilig zijn', besluit de algemeen directeur van Ajax. 'Deze vraag begrijpen we. Het antwoord is dat honderd procent dataveiligheid helaas niet bestaat. Maar het is onze verantwoordelijkheid om deze kans op datalekken zo klein mogelijk te maken.'

Stadionverboden

De privégegevens van Ajax-fans met een stadionverbod zijn eveneens in te zien. Dit betreft gevoelige informatie, omdat van deze mensen niet bekend is dat zij een verbod hebben. 'RTL Nieuws heeft bij meerdere Ajax-supporters geverifieerd dat ze een actief stadionverbod hebben. Een groot deel van de stadionverboden is afkomstig uit de vakken 125, 126, 128 en 129, ook wel bekend als de F-Side, de harde kern van Ajax.'

Geschreven wordt dat de mensen die RTL Nieuws sprak enorm geschrokken zijn dat hun naam open en bloot te vinden is. '"Dit kan mijn carrière schaden", zegt een supporter die als gemeenteambtenaar werkt. Een ander werkt als veiligheidsmedewerker bij een grote organisatie, een derde werkt bij de politie', valt te lezen.

Tekst gaat verder onder de foto.

Statement op Ajax.nl

Ajax heeft middels een statement op Ajax.nl ook gereageerd op het nieuws. 'Via dit bericht willen we melden dat er door ons een datalek is geconstateerd. Kort daarna heeft een journalist kwetsbaarheden in onze systemen blootgelegd. Wij vinden het belangrijk om hier open en transparant over te zijn. Via dit bericht zetten we uiteen wat de mogelijke gevolgen zijn, welke acties wij hebben ondernomen en wat men zelf kan doen.'

Ajax laat weten dat van een paar honderd mensen alleen het e-mailadres is ingezien. 'Daarnaast zijn van minder dan 20 mensen met een stadionverbod hun namen, e-mailadressen en geboortedata ingezien. Daarnaast bleek het ook mogelijk, heeft een journalist aangetoond, om kaarten over te zetten naar anderen en stadionverboden aan te passen.'

De Amsterdamse club heeft de betrokkenen persoonlijk geïnformeerd. Als mensen niet geïnformeerd zijn, stelt Ajax dat hun gegevens voor zover nu bekend niet geraakt zijn door het incident. De club spreekt ook over de mogelijke gevolgen. 'Voor nu weten wij dat er toegang is verkregen tot een deel van onze systemen en gegevens, maar hebben wij op dit moment geen aanwijzing dat de gegevens verder zijn verspreid. Ondanks dat, wijzen wij iedereen erop dat het altijd goed is om alert te zijn op ongewenste e-mails (spam) of phishing-berichten. '

Ajax heeft direct een onderzoek ingesteld met behulp van externe expertise naar de oorzaak en omvang van het incident. 'Wij hebben de bewuste lekken gedicht en onze beveiliging verder aangescherpt. Ook hebben wij melding bij de Autoriteit Persoonsgegevens en aangifte gedaan', schrijft de club, die ook laat weten wat mensen zelf kunnen doen. 'Wij adviseren iedereen nogmaals om extra alert te zijn op verdachte e-mails en nooit zomaar op links te klikken of bijlagen te openen van onbekende afzenders.'