名門フットボールクラブAjaxは、単に組織としての評判を脅かすだけでなく、サポーターの信頼という根本的な基盤を危険にさらす試練に陥った。デジタルブリーチの結果として、30万人を超えるサポーターの個人データがデジタル空間に漏出した可能性がある。さらに、発見されたシステムの脆弱性により、犯罪者たちは他人の機密情報を閲覧するだけでなく、チケットやシーズンパスの取引を大胆に操作することもできた。
正式な声明の中で、Ajax はデジタル攻撃者が内部IT基盤の一部への違法なアクセスを奪取したことを明かした。この侵入が発見されると、クラブはすぐに内部調査を開始し、外部のサイバーセキュリティ企業の支援を求めた。クラブの発表によれば、攻撃者は数百人のメールアドレスを調査した。加えて、特にスタジアム出入禁止を受けていた20人未満の個人の非常に機密性の高いデータが漏洩した。
当機関は、システムの脆弱性をすでに特定し、完全に塞いだことを明らかにした。さらに、Ajaxは同様の攻撃の再発を大幅に減らすために、強力な新しいセキュリティ対策を実装した。このインシデントの影響を受けた利用者には正式に通知されている。クラブは同時に、フォロワーに疑わしいメールに対して警戒を呼びかけ、危険なリンクをクリックしないよう、そして不明な送信者からの添付ファイルを開かないようにお願いしている。
現在のところ、Ajaxは盗まれたデータが流出した兆候は見ていない。しかし、クラブはこのような事件の後に通常発生するスパムやフィッシング攻撃の脅威に対する警告を発した。
オランダのデータ保護当局には正式に報告された。同時に、Ajaxは警察に届け出た。
RTL Nieuwsがこのブリーチを最初に報道した。出版社は倫理的ハッカーとの対話を通じて、この事件の深刻さを明らかにした。彼の証言によれば、攻撃者は30万人を超えるサポーターの記録を見ることができるだけでなく、他の人にシーズンパスとチケットを一方的に譲渡したり、スタジアム出入禁止の記録を変更または削除したりする権限を持つことができた。
調査官は、Ajaxのアプリケーションユーザーが、アカウント情報の変更を制御する普遍的な同一のデジタル暗号化キーに意識せずに結合されていたと指摘した。送信されたデータパケットをわずかに破損させるだけで、別人になりすまして操作を実行するだけで十分であった。例えば、他人のチケットを不正に転送することなど。クラブのデジタルシステムに存在するもう一つの欠陥は、スタジアムから追放されたユーザーのリストを露出させていた。さらに、管理者の高度なデジタルキーはAjaxの多くのAPIに暴露していた。デジタルセキュリティの専門家によれば、このような構造的な欠陥により、侵入者はサポーターの個人データに完全な支配権を持ち、多くの不正な行為を実行することが可能になった。
Ajaxの最高経営責任者Menno Geelenは、この事件の後、顧客は自分たちのデータの安全性について深刻な懸念を持つのは当然だと厳粛に認めた。RTL Nieuwsとの対話では、クラブの最高経営幹部は、完全な不可侵防御という概念が幻想である一方で、組織の厳粛な責任は、このような深刻な情報漏洩の危険性をできる限り最小限に抑えることであると述べた。
