Ajax heeft jaren geleden een omvangrijk datalek in het ticketsysteem verzwegen, zo stelt BNR op basis van een geheimhoudingsovereenkomst dat de voetbalclub de ontdekker van het probleem liet tekenen. Via de kwetsbaarheid in het ticketsysteem was het mogelijk om toegang te krijgen tot klant- en personeelsgegevens, waaronder van prominenten van de voetbalclub.

De ontdekker van het beveiligingslek, die het probleem in 2017 bij de voetbalclub meldde, zegt tegenover BNR dat hij door Ajax werd gedwongen om een geheimhoudingsovereenkomst te ondertekenen. Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Deze meldplicht houdt in dat organisaties die een ernstig datalek hebben, dit op tijd moeten melden bij de Autoriteit Persoonsgegevens en soms ook aan de slachtoffers.

Onlangs ontdekte de beveiligingsonderzoeker een nieuw probleem in de systemen van Ajax waardoor het mogelijk was om toegang te krijgen tot gegevens van 300.000 geregistreerde supporters, alsmede vijfhonderd personen met een stadionverbod, zo meldde RTL Nieuws dat door de onderzoeker was getipt. De gelekte data bestaat uit namen, e-mailadressen en geboortedata. Tevens bleek het mogelijk om seizoenskaarten over te zetten en stadionverboden aan te passen.

Ajax liet in de berichtgeving over het datalek weten dat het aangifte had gedaan bij de politie. De onderzoeker bevestigt tegenover BNR dat er een aangifte tegen hem ligt. Ajax heeft een Coordinated Vulnerability Disclosure (CVD) beleid, waarin afspraken staan over welke systemen door ethisch hackers mogen worden getest en hoe er wordt omgegaan met bugmeldingen en het verhelpen van gerapporteerde kwetsbaarheden.

"Als een ethische hacker een kwetsbaarheid vindt in het ICT-systeem van een organisatie en dit meldt aan de desbetreffende organisatie, dan wordt er in principe geen strafrechtelijk onderzoek ingesteld", aldus het Openbaar Ministerie. Wel zal de officier van justitie bepalen of er sprake is van Coordinated Vulnerability Disclosure.