オランダの名門クラブAFC Ajaxは、攻撃者が内部システムにアクセスしたことが判明し、データ漏洩を認めています。このインシデントは単なるパスミスではなく、ゲートが大きく開け放たれたような状況です。
同クラブは述べ、「オランダ国内のハッカー」がセキュリティの脆弱性を悪用してシステムの一部にアクセスし、数百人のメールアドレスと、スタジアム利用禁止とされている20人未満のサポーターの限定的な個人情報を閲覧したとしています。Ajaxは脆弱性に対処し、規制当局に通知し、データがさらに拡散したという「兆候がない」と述べています。
これはAjaxが見せたいスコアボードです。RTL Newsの報告は、ディフェンスがロッカールームに留まったゲームのように見えます。
RTLの調査では、公開されたAPIを探索し、共有デジタルキーを再利用することで、他のユーザーになりすますことが可能であることが判明しました。シーズンチケットの移行、アカウント詳細の変更、スタジアム利用禁止の解除さえも可能でした。例えば、RTLはAjax役員のMenno Geelen氏のアカウントからVIPチケットを数秒で入手し、クラブが取り戻す前に次のマッチにアクセスするために使用しました。
これらの欠陥により、30万人以上の登録されたサポーターに関連するデータが公開される可能性があり、4万2000件以上のシーズンチケットが危険にさらされました。チケット所有者がほぼ対抗手段なく、これらのチケットは盗まれたり、アカウントから消える可能性があります。
RTLはまた、500人以上のスタジアム利用禁止となったサポーターの詳細が取得可能な状態で放置されていることを発見しました。スチュワードとの争いから麻薬関連事件まで、その理由も含まれています。これは簡単に検索されたくない情報です。影響を受けた個人の一人である地方政府職員は、「これは私のキャリアに害を及ぼす可能性があります」とコメントしています。
Ajax自身の声明は、ジャーナリストがチケットを転送し利用禁止を変更する能力を実証したことを認めていますが、このような広く開かれたセットアップが当初どのように本番環境に入ったのかについてはほとんど詳細を提供していません。RTLの報告は、より根本的な問題を指摘しています。つまり、信頼すべきでないリクエストを信頼したシステム、すべてのユーザーに同じデジタルキーを配布し、実質的に誰もが支配権を持つシステムです。
Ajaxは確認されたデータ漏洩の限定的な数に焦点を当てながら、スコアラインをまともに保つことに熱心なようです。しかし、外部者がデータを見るだけでなく、その背後にあるレバーも操作できる場合、これは限定的な侵害というより、ゴールキーパーがいない中でのオウンゴールのように見えます。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/27/afc_ajax_drops_ball_as/
