Задержание произошло утром 26 мая 2026 года. Нидерландская полиция квалифицирует дело как незаконное проникновение в компьютерные системы. В официальном сообщении говорится, что Ajax столкнулся с таким доступом в начале 2026 года, после чего клуб сообщил о случившемся правоохранителям, а криминальная полиция начала расследование.
Имя задержанного не раскрывается. Полиция указывает только возраст, регион проживания и то, что после обыска изъяли носители данных. Сейчас они проходят экспертизу.
Ajax раскрыл инцидент в конце марта. Тогда клуб сообщил, что злоумышленник использовал уязвимости в IT-системах и получил доступ к данным нескольких сотен человек. Отдельно упоминались адреса электронной почты, а также данные менее чем 20 человек со стадионными запретами.
Уязвимость позволяла выполнять действия в аккаунтах болельщиков: переносить купленные билеты другим пользователям и менять записи о стадионных запретах. Для футбольного клуба это уже риск для физической безопасности на матчах.
RTL Nieuws в мартовском расследовании показал, что через ошибку можно было просматривать данные более чем 300 тыс. зарегистрированных фанатов Ajax, свыше 42 тыс. сезонных абонементов и работать с информацией о 538 активных стадионных запретах. Журналисты продемонстрировали передачу VIP-абонемента директора Ajax Менно Гилена (Menno Geelen) другому аккаунту за секунды — после уведомления клуба его вернули владельцу.
Ключевая проблема находилась в приложении и API-интерфейсах Ajax. RTL описывает схему так: у пользователей приложения был один и тот же цифровой ключ для изменения аккаунта. Манипуляция отправленным пакетом позволяла выполнить действие от имени другого человека — например, передать билет.
Вторая часть касалась сайта и программных интерфейсов. В некоторых API можно было найти ключ администратора. Это открывало доступ к чувствительным данным болельщиков и позволяло менять записи, включая стадионные запреты. Ajax после проверки заявил, что известные уязвимости закрыты, безопасность усилена, привлечены внешние специалисты, уведомлены нидерландский регулятор по персональным данным и полиция.
Клуб говорил о просмотре данных ограниченного числа людей: электронные адреса нескольких сотен пользователей и сведения менее чем о 20 болельщиках со стадионными запретами. Расследование RTL указывало на куда более широкий технический риск: потенциальный доступ к данным 300 тыс.+ аккаунтов, 42 тыс.+ сезонных билетов и 538 записям о запретах на посещение стадиона.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
