Ajax meldt datalek van e-mailadressen en info over stadionverboden - update

Ajax meldt dat het slachtoffer is van een cyberaanval waarbij de e-mailadressen van 'een paar honderd mensen' gestolen zijn. Daarnaast was het mogelijk om gegevens van mensen met een stadionverbod in te zien en te veranderen.

Ajax stadionVolgens de hacker Abdoul Rasnab, die de kwetsbaarheden ontdekte, zijn de gegevens nooit misbruikt en doet Ajax melding van het datalek naar aanleiding van zijn onderzoek. Verder meldt hij aan Tweakers dat het mogelijk was om toegangskaarten van klanten over te zetten en stadionverboden aan te passen. Het is onduidelijk of dit daadwerkelijk door kwaadwillenden is gedaan.

RTL Nieuws verifieerde de claims van de hacker en stelt dat het vanwege de kwetsbaarheid mogelijk was om gegevens van honderdduizenden gebruikers in te zien en de status van 42.000 seizoenskaarthouders aan te passen.

'Slachtoffers' zijn door de voetbalclub ingelicht. Volgens Ajax is er geen indicatie dat de gegevens verder zijn verspreid. Desondanks heeft de voetbalclub aangifte gedaan bij de politie en melding gemaakt bij de Autoriteit Persoonsgegevens, wat verplicht is bij datalekken van een bepaalde omvang of impact.

Kwetsbaarheid in app en website

De ontdekker van het datalek legt uit dat accounts en tickets zonder wachtwoord toegankelijk waren. Dat gebeurde via de Ajax-app en maakte het mogelijk om bijvoorbeeld een ticket aan een andere gebruiker te geven.

Daarnaast zouden kwaadwillenden via een onbeveiligde api met beheerdersrechten gevoelige gegevens hebben kunnen opvragen. Daaronder valt het aanpassen van accounts en het opvragen van gegevens van mensen met een stadionverbod. Via dezelfde weg zouden stadionverboden ook kunnen worden opgeheven.

De kwetsbaarheid is volgens de club aangepakt en de beveiliging zou verder zijn aangescherpt. Ajax adviseert getroffenen om extra alert te zijn op verdachte e-mails en niet op links of bijlagen van onbekende afzenders te klikken.

Update, 18.39 uur – Er is extra informatie toegevoegd van de ontdekker van de kwetsbaarheden.

Door Yannick Spinner

Redacteur

Feedback • 25-03-2026 16:19
38 • submitter: MM99

25-03-2026 • 16:19

38

Submitter: MM99

Lees meer

Gemeenten starten digitale meldplicht voor voetbalsupporters met stadionverbod
Gemeenten starten digitale meldplicht voor voetbalsupporters met stadionverbod Nieuws van 1 april 2025
Minister wil digitale meldplicht voor relschoppers met stadionverbod
Minister wil digitale meldplicht voor relschoppers met stadionverbod Nieuws van 25 september 2024
Nederlands ministerie bestudeert plan voor vingerafdrukscan bij stadions
Nederlands ministerie bestudeert plan voor vingerafdrukscan bij stadions Nieuws van 23 mei 2023
Ajax gaat spelers realtime analyseren dankzij hesjes met transponders
Ajax gaat spelers realtime analyseren dankzij hesjes met transponders Nieuws van 9 februari 2018
Ajax wint eerste Fifa 17-competitie tussen Eredivisie-voetbalclubs
Ajax wint eerste Fifa 17-competitie tussen Eredivisie-voetbalclubs Nieuws van 15 april 2017
Meer producten en artikelen
Beveiliging en antivirus Privacy Ajax Ajax Cybercrime Cybersecurity Datalek Voetbal

Reacties (38)

-Moderatie-faq
38
38
18
2
0
16
Wijzig sortering

Sorteer op:

Weergave:
Robbierut4 25 maart 2026 16:30
Volgens Nu.nl gaat dit veel verder dan alleen een datalek. De data kon namelijk niet alleen ingezien worden, maar ook aangepast.

De hackers konden dus ook een stadionverbod verwijderen in het systeem. Best risicovol, gezien de lieverdjes die zo'n verbod hebben gekregen. Die allemaal weer het stadion in laten lijkt me vragen om rellen.
Reageer
watercoolertje @Robbierut425 maart 2026 16:37
Dus ff vergelijken met de backup van de nacht ervoor, lijkt me geen hele lastige kwestie verder! Dan zie je zo wat er aan bestaande data is aangepast. Tenzij de hack ouder is dan de oudste backup, dan weet je helemaal niks meer zeker.

[Reactie gewijzigd door watercoolertje op 25 maart 2026 16:38]

Reageer
Robbierut4 @watercoolertje25 maart 2026 16:40
Dus ff vergelijken met de backup van de nacht ervoor, lijkt me geen hele lastige kwestie verder! Dan zie je zo wat er aan bestaande data is aangepast. Tenzij de hack ouder is dan de oudste backup, dan weet je helemaal niks meer zeker.
Dat is dus het lastige. Hoe weet je zeker dat je backup wel correct is? En hoe ver ga je terug? Kan tussen je oudste backup en vandaag ook gewoon een nieuw verbod bij zijn gekomen.
Reageer
demianmonteverd @Robbierut425 maart 2026 17:42
Je kunt wellicht de access logs erbij halen en dan zie je soms wel een patroon.
Reageer
vickypollard @Robbierut425 maart 2026 17:06
Hoe weet je zeker dat je backup wel correct is?
Als dat een zorg is heb je een ander probleem.

Of er tussen de backup en nu nog iets bij gekomen is lijkt me makkelijk te achterhalen.
Reageer
moimeme @vickypollard25 maart 2026 17:20
Je moet wel weten wanner de hak plaatsvond. Als ze het niet weten hebben ze een groot probleem ja.

[Reactie gewijzigd door moimeme op 25 maart 2026 17:21]

Reageer
Triblade_8472 @Robbierut425 maart 2026 16:54
En wat zijn legale en illegale wijzigingen geweest?
Reageer
.oisyn Moderator Devschuur® @Robbierut425 maart 2026 19:03
Ik mag hopen dat mutaties gelogd worden. En die zijn via het systeem zelf gebeurd, niet door bijv. direct de database aan te passen.

Maar goed, gezien de aard van het lek kun je er niet vanuit gaan dat ze dat wél op orde hebben :/
Reageer
watercoolertje @Robbierut425 maart 2026 17:24
Dat is dus het lastige.
Je hebt die zekerheid helemaal nooit! Ook niet als je (denkt dat je) niet gehackt bent.
Kan tussen je oudste backup en vandaag ook gewoon een nieuw verbod bij zijn gekomen.
Daarom staat ook in mijn reactie dat het enkel sloeg op bestaande data (en daarmee dus niet op nieuwe).
Reageer
Somoghi @watercoolertje25 maart 2026 16:41
Mag toch hopen dat ze ook de stadionverboden ergens op papier gedocumenteerd/beargumenteerd hebben met een datum en vervaldatum erbij.
Reageer
hotabibber @Somoghi25 maart 2026 17:13
Lijkt mij wel, volgens mij moet dit ook gemeld worden bij de KNVB. En niet alleen de KNVB ook de politie aangezien er vaak strafbare feiten vooraf gegaan zijn aan een stadionverbod. Je krijgt die niet zomaar.
Reageer
elbizarre @watercoolertje25 maart 2026 18:39
Hahaha, dagelijkse backup zegt hij....

Dan ga je er dus even vanuit dat deze er überhaupt zijn. Om menig manager te quoten: Het is toch cloud?
Reageer
jpsch @elbizarre25 maart 2026 19:43
Cloud is als een NAS, geen backup.
Reageer
Clu3M0r3 @watercoolertje25 maart 2026 21:06
Dus ff vergelijken met de backup van de nacht ervoor
Dan moet die backup er uiteraard wel zijn, en de backup en restore procedure moet grondig getest zijn.

Ik ken voldoende horror verhalen over bedrijven die keurig netjes dagelijks backups maakten maar nooit op het idee zijn gekomen om te testen of een restore het gewenste resultaat had. Die bedrijven zijn nu niet meer "in business".
Reageer
jpsch @watercoolertje25 maart 2026 19:41
Mag toch hopen dat als er een stadionverbod wordt aangepast, dat dit gelogd wordt en dat je weet welk account deze mutatie heeft gedaan.
Reageer
Quintiemero @Robbierut425 maart 2026 16:37
Daarom is de term datalek zo ellendig. Het bekt lekker maar dekt totaal niet de lading van de reikwijdte van de juridische definitie.

inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

[Reactie gewijzigd door Quintiemero op 25 maart 2026 16:38]

Reageer
jumbos7 @Quintiemero25 maart 2026 17:02
Maar is de term datalek dan het probleem of de gebrekkige kennis over wat dat in juridische zin inhoudt? Bij het woord datalek is het op zich niet vergezocht dat het zo wordt gedefinieerd dat het naast data prijs gegeven aan onbevoegden ook inhoudt dat er iets verloren kan gaan door hun toedoen, zoals het wijzigen of verwijderen van gegevens.

[Reactie gewijzigd door jumbos7 op 25 maart 2026 17:03]

Reageer
Zerora @Quintiemero25 maart 2026 18:46
Engelse term 'data breach' is veel correcter.
Reageer
William_H @Zerora25 maart 2026 21:39
Maarja, hoe vertaal je dat dan weer naar normaal Nederlands. Data inbraak, digitale inbraak?
Reageer
moimeme @Robbierut425 maart 2026 17:16
Ja, eng. Gelukkig als het maar 20 mensen zijn valt nog mee. Kunnen ze "met de hand aanpassen". Ik ga wel van uit dat de stadionverbod ergens anders is geregistreerde.

Edit: Oeps dat zou 500 zijn.

[Reactie gewijzigd door moimeme op 25 maart 2026 17:32]

Reageer
80sdude @Robbierut425 maart 2026 17:48
het schijnt dat fotos op billboards helpen las ik recent
Reageer
Clu3M0r3 @Robbierut425 maart 2026 21:02
De hackers konden dus ook een stadionverbod verwijderen in het systeem.
Dat is (niet alleen in dit geval) ernstig te noemen.
Best risicovol, gezien de lieverdjes die zo'n verbod hebben gekregen. Die allemaal weer het stadion in laten lijkt me vragen om rellen.
Alsof die lieverdjes zich buiten een stadion opeens als engeltjes gaan gedragen. Bij een stadionverbod zou IMHO automatisch een meldingsplicht bij de politie moeten worden opgelegd.
Reageer
William_H @Clu3M0r325 maart 2026 21:41
Die meldingsplicht gebeurt ook zeker. Er zijn bepaalde figuren die zich iedere keer kunnen melden op het bureau bij wedstrijden van "hun clubbie".
Als ze dat nu ook even doen met die randdebielen die afgelopen weekend de A44 blokkeerde, is het weer rustig in "het fanatieke vak".
Reageer
Clu3M0r3 @William_H25 maart 2026 23:57
Als ze dat nu ook even doen met die randdebielen die afgelopen weekend de A44 blokkeerde, is het weer rustig in "het fanatieke vak".
Daar heb je een zeer terecht punt. Maar ja, handhaving en preventie (in deze in willekeurige volgorde) zijn de zwakkere punten van de Nederlandse rechtsstaat.
Reageer
JJ Le Funk 25 maart 2026 16:43
Quote: "Volgens Ajax is er geen indicatie dat de gegevens verder zijn verspreid."

Lijkt mij niet geruststellend, als data eenmaal gestolen is kan je niet voorspellen of die misbruikt of verkocht gaat worden. En welke indicatie heeft men het over, een bericht van de Politie dat een slachtoffer actief misbruik heeft gemeld? Meestal kan je niet eens bewijzen als slachtoffer van phishing of identiteitsfraude waar de bron van een aanval vandaan is gekomen.

[Reactie gewijzigd door JJ Le Funk op 25 maart 2026 17:21]

Reageer
Greppelzwerver @JJ Le Funk25 maart 2026 16:55
Wanneer een instantie die zijn veiligheid niet op orde heeft iedereen vertelt dat het wel meevalt neem ik dat sowieso met een korrel zout. Ik zou ook niet van de daken roepen dat er een megablunder is gemaakt en iedereen in de database de komende jaren een vloed aan spam en andere koppijn kan verwachten.
Reageer
laurens0619 @JJ Le Funk25 maart 2026 17:00
Het is inderdaad een hele lastige want hoe grondig onderzoek je?

Niet onderzoeken
Een beetje onderzoeken
Heel ver onderzoeken

Wij weten niet grondig onderzoek er gepleegd is.
Echter, vaak kijken ze bij dit type incidenten wel redelijk grondig maar als ze geen bewijs vinden dan is het formeel geen indicatie. Eigenlijk zou eerlijker zijn: "geen indicatie maar aannemelijk dat de data toch verspreid is"
Reageer
adje123 25 maart 2026 16:30
"Als je geen data opslaat, dan kan er ook geen data gestolen worden. Is toch logisch?" - Jordi Cruijff
Reageer
Crypto_Exfil 25 maart 2026 17:26
Als ontdekker van deze ‘hack’ wil ik benadrukken dat de situatie genuanceerder ligt dan momenteel wordt geschetst. Graag kom ik hierover in contact met de redactie.
Reageer
redtoller 25 maart 2026 16:29
Ben benieuwd in hoeverre de supporters hun seizoenskaart missen dit seizoen
Reageer
adje123 @redtoller25 maart 2026 16:36
Ik was zo stom mijn Ajax seizoenskaart op mijn bijrijdersstoel te laten liggen, was de ruit ingetikt en heeft iemand zijn kaartje erbij gelegd.
Reageer
Robinho96 @adje12325 maart 2026 23:29
:+
Reageer
adje123 @Robinho9625 maart 2026 23:39
??
Reageer
Tweddy 25 maart 2026 18:12
Minder dan 20 mensen hebben dus een stadionverbod. Volgens mij is dat groter nieuws dan al het andere.
Reageer
Het.Draakje @Tweddy25 maart 2026 18:15
Neen, volgens NU.nl zijn er 528 mensen met een stadionverbod. En volgens bovenstaand artikel zijn van 20 van die mensen de gegevens gelekt.
Reageer
Timmy @Tweddy25 maart 2026 18:15
Volgens RTL zijn het 538 personen waarvan bij circa 20 personen de data is geraadpleegd.
Reageer
Kimbo72 25 maart 2026 19:15
Staat er ook bij hoe hard ze kunnen rennen?
Reageer
nutty 25 maart 2026 20:05
Stevig dokken die voor de app verantwoordelijk is!

Hoogste tijd dat mensen 10 keer nadenken over de beveiliging van app, en sites, voordat ze data gaan gebruiken van anderen.

[Reactie gewijzigd door nutty op 25 maart 2026 20:08]

Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq