Ajax heeft bevestigd dat er een datalek is ontdekt bij de club. Uit onderzoek van RTL Nieuws blijkt dat een hacker toegang kon krijgen tot delen van de digitale omgeving. Daardoor was het mogelijk om seizoenkaarten te stelen of ongeldig te maken en om stadionverboden aan te passen. De club zegt dat de bekende lekken inmiddels zijn gedicht en dat de beveiliging is aangescherpt. Ook is een extern onderzoek gestart naar oorzaak en omvang.
Wat er precies is gebeurd
Volgens RTL Nieuws was het via de kwetsbaarheden mogelijk om in te loggen op accounts van fans en daarmee gevoelige functies te misbruiken. Denk aan het overzetten van kaarten naar andere accounts en het wijzigen van gegevens. In het meest ernstige scenario kon een kwaadwillende met een gestolen seizoenkaart een wedstrijd bezoeken, zonder dat de rechtmatige eigenaar daar iets tegen kon doen. Ook bleek het voor hackers mogelijk om stadionverboden te bekijken en zelfs te verwijderen.
Omvang volgens RTL Nieuws
De redactie van RTL Nieuws meldt dat de privégegevens van meer dan 300.000 geregistreerde Ajax-fans in te zien waren. Daarnaast zouden de ruim 42.000 seizoenkaarten vatbaar zijn geweest voor diefstal of sabotage. Ook kon worden bekeken welke 538 supporters op dat moment een actief stadionverbod hadden. Dat wijst erop dat niet alleen toegangsbewijzen, maar ook gevoelige informatie rondom sancties en handhaving kwetsbaar was.
Reactie van Ajax
Ajax erkent dat een hacker toegang heeft gehad tot delen van de systemen en spreekt van blootgelegde kwetsbaarheden. Algemeen directeur Menno Geelen noemt het vervelend en benadrukt dat de club direct heeft gehandeld. Er is externe expertise ingeschakeld, er loopt een gezamenlijk onderzoek en de beveiliging is op meerdere punten aangescherpt. Volgens de club zijn de lekken die bekend zijn inmiddels gedicht.
Welke gegevens zijn ingezien
Ajax geeft aan dat er voor een paar honderd personen alleen een e-mailadres is ingezien. Daarnaast is er bij minder dan twintig mensen met een stadionverbod meer informatie bekeken, zoals naam, e-mailadres en geboortedatum. De club zegt verder dat het mogelijk was om kaarten over te zetten naar anderen en aanpassingen te doen aan stadionverboden. Op dit moment zijn er volgens Ajax geen aanwijzingen dat de buitgemaakte gegevens verder zijn verspreid. Alle betrokkenen zijn persoonlijk geïnformeerd.
Wat betekent dit voor seizoenkaarthouders
Het grootste praktische risico zat in het stelen of deactiveren van seizoenkaarten via het account van de houder. In de beschrijving van RTL Nieuws verdween de kaart dan plots uit het account en werkte deze niet meer bij de poort. Voor supporters kan dat grote gevolgen hebben, zeker rond wedstrijddagen. Ajax stelt dat het de beveiliging heeft aangepast en dat misbruik is gedicht, maar blijft wel adviseren om alert te zijn op verdachte activiteiten in het eigen account.
Stadionverboden en integriteit
Dat ook informatie over stadionverboden toegankelijk was, raakt aan de integriteit van het veiligheidsbeleid rondom wedstrijden. Als een verbod zonder controle kon worden gewijzigd of gewist, brengt dat de handhaving in gevaar. Ajax meldt dat het lek is gedicht en dat er geen signalen zijn dat gegevens zijn verspreid. Toch onderstreept het incident dat een stevig autorisatie- en loggingbeleid in dit soort systemen cruciaal is, juist omdat het gaat om veiligheidsmaatregelen in en rond het stadion.
Maatregelen van de club
Ajax heeft meerdere stappen genomen. De club heeft externe specialisten ingeschakeld om de systemen door te lichten, bekende kwetsbaarheden te dichten en extra maatregelen door te voeren. Daarnaast loopt er een breder onderzoek naar de oorzaak en de precieze impact. Dat moet duidelijk maken welke onderdelen van het platform zijn geraakt, hoe toegang is verkregen en welke gegevens exact zijn ingezien. Zo kan ook worden vastgesteld of aanvullende meldingen of stappen nodig zijn richting supporters en autoriteiten.
Adviezen aan supporters
De club vraagt fans om alert te zijn op spam en phishing. Ontvang je onverwachte e-mails over wachtwoordresets, kaarttransfers of betalingsverzoeken, handel dan voorzichtig. Controleer altijd de afzender, klik niet zomaar op links en log alleen in via de officiële kanalen van de club. Een sterk en uniek wachtwoord per account blijft belangrijk. Wie een vermoeden heeft van misbruik, bijvoorbeeld een verdwenen seizoenkaart of ongewenste wijzigingen in het profiel, wordt geadviseerd direct contact op te nemen met de club.
Context en achtergrond
Voetbalclubs vertrouwen steeds meer op digitale systemen voor kaartverkoop, toegang en supportersbeheer. Dat levert gemak op, maar vraagt ook om hoge beveiligingsstandaarden. In Nederland vallen persoonsgegevens onder strenge privacyregels. Organisaties die een datalek ontdekken, moeten dit in veel gevallen snel onderzoeken en betrokkenen informeren. Ajax geeft aan dat dit laatste is gebeurd en dat er op dit moment geen aanwijzingen zijn dat gegevens zijn uitgelekt buiten de directe inbraak. Toch is doorgaande monitoring rond dit soort incidenten gebruikelijk, omdat misbruik soms later zichtbaar wordt.
Wat nog onduidelijk is
Er lopen nog vragen. Zo is niet volledig bekend hoe de hacker precies is binnengekomen, welke technische fouten zijn misbruikt en hoe lang de kwetsbaarheden bestonden. Ook is niet duidelijk of er pogingen zijn gedaan om gestolen kaarten daadwerkelijk te gebruiken bij de poorten, en of dat door controles is tegengehouden. De bevindingen van het lopende onderzoek moeten hierover meer helderheid geven. Op basis daarvan kan Ajax extra maatregelen nemen, bijvoorbeeld rond tweestapsverificatie, strengere autorisatie op beheerdersfuncties en verscherpte controle bij kaartoverdrachten.
Gevolgen op korte en middellange termijn
Op korte termijn draait het om herstel, nazorg en vertrouwen. Supporters willen zekerheid dat hun gegevens veilig zijn en dat hun toegangsbewijzen blijven werken. Voor de club telt dat het kaart- en sanctiebeheer weer volledig betrouwbaar is. Op middellange termijn kan het incident leiden tot versnelde investeringen in cybersecurity, zoals periodieke penetratietests, betere segmentatie van systemen en striktere processen rond wijzigingen in accounts. Ook duidelijke communicatie met supporters, bijvoorbeeld via een veelgestelde-vragenpagina over het datalek, kan helpen om onrust weg te nemen.
Vooruitblik
Ajax zegt dat er nu geen signalen zijn dat gegevens breder zijn verspreid en dat alle betrokkenen zijn geïnformeerd. De komende periode moet het onderzoek uitwijzen waar verbeterpunten liggen en of er aanvullende maatregelen volgen. Supporters doen er goed aan hun account in de gaten te houden en alert te blijven op opvallende berichten. Zodra er nieuwe informatie beschikbaar komt, wordt die naar verwachting via de officiële kanalen gedeeld.
Kern van het verhaal: via een hack konden seizoenkaarten worden misbruikt en waren gegevens van fans en van een kleine groep met stadionverboden in te zien. Ajax heeft ingegrepen, lekken gedicht en waarschuwt voor phishing. De club onderzoekt hoe dit kon gebeuren en zegt de beveiliging verder te verbeteren, zodat supporters veilig en zonder zorgen hun club kunnen blijven volgen.
