De Amsterdamse voetbalclub Ajax is slachtoffer geworden van een datalek waarbij persoonsgegevens van ongeveer twintig mensen met een stadionverbod zijn gelekt. Het gaat onder meer om namen, e-mailadressen en geboortedata. Daarnaast zijn de e-mailadressen van enkele honderden andere personen ingezien. In totaal heeft Ajax 538 supporters met een actief stadionverbod.

De club heeft het datalek gemeld bij de Autoriteit Persoonsgegevens, waarmee Ajax zich aansluit bij eerdere meldingen van onder andere Odido en het ministerie van Financiën. Er zijn nog veel vragen over hoe de hacker toegang tot delen van de IT-systemen heeft gekregen. Wel bevestigt Ajax dat de aanvaller ook in staat was om gegevens te manipuleren, zoals het aanpassen van stadionverboden en het overzetten van seizoenskaarten naar anderen.

Volgens een onderzoek van RTL Nieuws was het mogelijk om via een lek in de Ajax-app seizoenskaarten te stelen. Elke gebruiker zou dezelfde digitale sleutel hebben om zijn account aan te passen, waardoor het manipuleren van datapakketjes acties namens anderen mogelijk maakte. Ook zou via een lek in een of meerdere API’s, die op de website worden gebruikt, de lijst met stadionverboden zichtbaar zijn geweest. In deze API’s zou de digitale sleutel van de beheerder zijn gevonden. Onder de betrokkenen met een stadionverbod bevinden zich onder meer een politieagent en een gemeenteambtenaar. De club heeft de getroffen personen persoonlijk geïnformeerd en de lekken inmiddels gedicht.