Nieuws
image

BNR: Ajax verzweeg jaren geleden omvangrijk datalek in ticketsysteem

vrijdag 27 maart 2026, 10:03 door Redactie, 10 reacties

Ajax heeft jaren geleden een omvangrijk datalek in het ticketsysteem verzwegen, zo stelt BNR op basis van een geheimhoudingsovereenkomst dat de voetbalclub de ontdekker van het probleem liet tekenen. Via de kwetsbaarheid in het ticketsysteem was het mogelijk om toegang te krijgen tot klant- en personeelsgegevens, waaronder van prominenten van de voetbalclub.

De ontdekker van het beveiligingslek, die het probleem in 2017 bij de voetbalclub meldde, zegt tegenover BNR dat hij door Ajax werd gedwongen om een geheimhoudingsovereenkomst te ondertekenen. Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit op tijd moeten melden bij de Autoriteit Persoonsgegevens en soms ook aan de slachtoffers.

Onlangs ontdekte de beveiligingsonderzoeker een nieuw probleem in de systemen van Ajax waardoor het mogelijk was om toegang te krijgen tot gegevens van 300.000 geregistreerde supporters, alsmede vijfhonderd personen met een stadionverbod, zo meldde RTL Nieuws dat door de onderzoeker was getipt. De gelekte data bestaat uit namen, e-mailadressen en geboortedata. Tevens bleek het mogelijk om seizoenskaarten over te zetten en stadionverboden aan te passen.

Ajax liet in de berichtgeving over het datalek weten dat het aangifte had gedaan bij de politie. De onderzoeker bevestigt tegenover BNR dat er een aangifte tegen hem ligt. Ajax heeft een Coordinated Vulnerability Disclosure (CVD) beleid, waarin afspraken staan over welke systemen door ethisch hackers mogen worden getest en hoe er wordt omgegaan met bugmeldingen en het verhelpen van gerapporteerde kwetsbaarheden.

"Als een ethische hacker een kwetsbaarheid vindt in het ICT-systeem van een organisatie en dit meldt aan de desbetreffende organisatie, dan wordt er in principe geen strafrechtelijk onderzoek ingesteld", aldus het Openbaar Ministerie. Wel zal de officier van justitie bepalen of er sprake is van Coordinated Vulnerability Disclosure.

Reacties (10)
Reageer met quote
Vandaag, 10:12 door Anoniem
Wat ik wel erg vind is dat - volgens de ethische hacker - hij gedwongen werd om zijn handtekening te zetten onder de geheimhoudingsverklaring.

Sinds wanneer is een handtekening onder dwang rechtsgeldig?
Reageer met quote
Vandaag, 10:35 door Anoniem
In zo goed als elk land in de EU kan je niet zomaar je rechten of plichten opgeven door een contract te tekenen. De datalek meldingsplicht staat daarom boven de geheimhoudingsovereenkomst. Verder is het natuurlijk strafbaar om een contract onder dwang te laten tekenen. Ik denk dus dat Ajax hier zwaar in de problemen gaat komen.
Reageer met quote
Vandaag, 11:02 door Anoniem
Wat een incompetente organisatie is Ajax toch. Stuur het hele bestuur en de raad van toezicht maar naar huis. Zonder enige compensatie.
En verhaal alle schade maar op die mensen.
Reageer met quote
Vandaag, 11:21 door Bitje-scheef
Typisch.. alles even snel onder het tapijt vegen om er maar weinig mee te doen. Daarna schieten we op de boodschapper.
Alles verder dan de lederen voetbal, de grasmat en de doelpalen denken we niet.
Reageer met quote
Vandaag, 11:33 door Anoniem
Bijzonder . In de responsible disclosure procedure beloofd Ajax om geen aangifte te doen wanneer het lek gemeld wordt en er niet meer data uit het systeem gehaald is dan nodig om het lek aan te tonen. Dat lijkt gebeurd te zijn.

Waarom is de hacker naar de pers gestapt? Was Ajax te weinig voortvarend met het aanpassen van het lek? Wat heeft Ajax doen besluiten om hem erbij te lappen? Bang voor een daling van de beurskoers als de automatisering een puinhoop is?
Reageer met quote
Vandaag, 11:34 door Anoniem
Door Bitje-scheef: Typisch.. alles even snel onder het tapijt vegen om er maar weinig mee te doen. Daarna schieten we op de boodschapper.
Alles verder dan de lederen voetbal, de grasmat en de doelpalen denken we niet.
Als ze net zo schieten op de boodschapper als op het doel, heeft de hacker niets te vrezen van het eerste team.
Reageer met quote
Vandaag, 12:09 door Anoniem
Ik heb niks met voetbal. Voetbal staat voor mij gelijk aan discriminatie, onrust, criminaliteit, bedrog, wetteloosheid en zwaar overbetaalde, verwende werknemers. Rinus Michels zei ooit: “Voetbal is oorlog.” Hij had gelijk blijkt uit het bericht want wie in oorlog is hangt zijn zwakheden niet aan de grote klok.
Reageer met quote
Vandaag, 12:29 door Anoniem
Door Anoniem: Wat ik wel erg vind is dat - volgens de ethische hacker - hij gedwongen werd om zijn handtekening te zetten onder de geheimhoudingsverklaring.

Sinds wanneer is een handtekening onder dwang rechtsgeldig?

Je kunt tekenen, beide overeenkomsten, met de aantekening erbij "getekend onder dwang". Wel zorgen dat je ook een kopie meekrijgt van het exemplaar dat zij behouden voor hun eigen administratie.

Het punt is dat een vereniging als Ajax -en het gaat om 300.000 personen, waaronder 500 met een stadionverbod, iets dat ze meestal niet voor niets kregen- zijn stille offline netwerken in gang zet, zodra toch iets over het bestaan van het lek, of de geheimhoudersverklaring naar buiten is gekomen.

Aan het melden van lekken kleven ook gevaren voor je veiligheid en anonimiteit in je persoonlijke levenssfeer.
Reageer met quote
Vandaag, 13:05 door Anoniem
Dat is wel heel brutaal,om het te verzwijgen.
Reageer met quote
Vandaag, 13:56 door Anoniem
Door Anoniem: In zo goed als elk land in de EU kan je niet zomaar je rechten of plichten opgeven door een contract te tekenen. De datalek meldingsplicht staat daarom boven de geheimhoudingsovereenkomst. Verder is het natuurlijk strafbaar om een contract onder dwang te laten tekenen. Ik denk dus dat Ajax hier zwaar in de problemen gaat komen.
Het kan, maar er moet worden bij gezegd dat een rechtbank naar de bewijsbaarheid kijkt.

Eerst hebben we niet te maken met het Strafrecht, maar met het Nieuw Burgerlijk Wetboek.

Voorts, moet voor de rechter aan te tonen zijn dat de handtekening echt onder dwang is gezet. Je kunt dit doen door bij de ondertekening duidelijk te stellen op schrift, dat je gedwongen werd deze handtekening te zetten, dat er geen gesprek meer mogelijk was en dat je daarom niet gehouden bent dit contract te onderhouden.

Voorts is het aan te bevelen dat er getuigen bij waren die het verhaal voor de rechter kunnen bevestigen, en de dwang moet wel uit de woorden/geschreven tekst van de dwingenende partij blijken.

Ook wordt aangeraden om dit alles met e-mails naar de dwingende partij te bevestigen, zodat ook daar bewijs voor is.

Dus het alleen zeggen: "ik werd gedwongen een handtekening te zetten" zal voor een rechtbank niet genoeg zijn. En ook niet de oude formule O.D. voor je handtekening te plaatsen (O.D.=Onder Dwang).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search