Ajax meldt datalek van e-mailadressen en info over stadionverboden - update

Ajax meldt dat het slachtoffer is van een cyberaanval waarbij de e-mailadressen van 'een paar honderd mensen' gestolen zijn. Daarnaast zijn ook namen en geboortedata van 'minder dan 20' mensen met een stadionverbod gelekt.

Ajax stadionDaarnaast was het mogelijk om toegangskaarten van klanten over te zetten en stadionverboden aan te passen, zo meldt RTL Nieuws. Het is onduidelijk of dit daadwerkelijk is gebeurd.

Volgens het medium was het mogelijk om gegevens van honderdduizenden gebruikers in te zien en de status van 42.000 seizoenskaarthouders aan te passen. Er zouden echter slechts enkele honderden mensen zijn getroffen. Deze slachtoffers zijn door de voetbalclub ingelicht.

Volgens Ajax is er geen indicatie dat de gegevens verder zijn verspreid. Desondanks heeft de voetbalclub aangifte gedaan bij de politie en melding gemaakt bij de Autoriteit Persoonsgegevens, wat verplicht is bij datalekken van een bepaalde omvang of impact.

De kwetsbaarheid is volgens de club aangepakt en de beveiliging zou verder zijn aangescherpt. Ajax adviseert getroffenen om extra alert te zijn op verdachte e-mails en niet op links of bijlagen van onbekende afzenders te klikken.

Update, 18.09 uur – De ontdekker van het datalek legt aan Tweakers uit dat accounts en tickets zonder wachtwoord toegankelijk waren. Dat gebeurde via de Ajax-app en maakte het mogelijk om bijvoorbeeld een ticket aan een andere gebruiker te geven.

Daarnaast zouden kwaadwillenden via een onbeveiligde api met beheerdersrechten gevoelige gegevens hebben kunnen opvragen. Daaronder valt het aanpassen van accounts en het opvragen van gegevens van mensen met een stadionverbod. Via dezelfde weg zouden stadionverboden ook kunnen worden opgeheven.

Door Yannick Spinner

Redacteur

Feedback • 25-03-2026 16:19
24 • submitter: MM99

25-03-2026 • 16:19

24

Submitter: MM99

Lees meer

Gemeenten starten digitale meldplicht voor voetbalsupporters met stadionverbod
Gemeenten starten digitale meldplicht voor voetbalsupporters met stadionverbod Nieuws van 1 april 2025
Minister wil digitale meldplicht voor relschoppers met stadionverbod
Minister wil digitale meldplicht voor relschoppers met stadionverbod Nieuws van 25 september 2024
Nederlands ministerie bestudeert plan voor vingerafdrukscan bij stadions
Nederlands ministerie bestudeert plan voor vingerafdrukscan bij stadions Nieuws van 23 mei 2023
Ajax gaat spelers realtime analyseren dankzij hesjes met transponders
Ajax gaat spelers realtime analyseren dankzij hesjes met transponders Nieuws van 9 februari 2018
Ajax wint eerste Fifa 17-competitie tussen Eredivisie-voetbalclubs
Ajax wint eerste Fifa 17-competitie tussen Eredivisie-voetbalclubs Nieuws van 15 april 2017
Meer producten en artikelen
Beveiliging en antivirus Privacy Ajax Ajax Cybercrime Cybersecurity Datalek Voetbal

Reacties (24)

-Moderatie-faq
24
24
13
4
0
9
Wijzig sortering

Sorteer op:

Weergave:
Robbierut4 25 maart 2026 16:30
Volgens Nu.nl gaat dit veel verder dan alleen een datalek. De data kon namelijk niet alleen ingezien worden, maar ook aangepast.

De hackers konden dus ook een stadionverbod verwijderen in het systeem. Best risicovol, gezien de lieverdjes die zo'n verbod hebben gekregen. Die allemaal weer het stadion in laten lijkt me vragen om rellen.
Reageer
watercoolertje @Robbierut425 maart 2026 16:37
Dus ff vergelijken met de backup van de nacht ervoor, lijkt me geen hele lastige kwestie verder! Dan zie je zo wat er aan bestaande data is aangepast. Tenzij de hack ouder is dan de oudste backup, dan weet je helemaal niks meer zeker.

[Reactie gewijzigd door watercoolertje op 25 maart 2026 16:38]

Reageer
Robbierut4 @watercoolertje25 maart 2026 16:40
Dus ff vergelijken met de backup van de nacht ervoor, lijkt me geen hele lastige kwestie verder! Dan zie je zo wat er aan bestaande data is aangepast. Tenzij de hack ouder is dan de oudste backup, dan weet je helemaal niks meer zeker.
Dat is dus het lastige. Hoe weet je zeker dat je backup wel correct is? En hoe ver ga je terug? Kan tussen je oudste backup en vandaag ook gewoon een nieuw verbod bij zijn gekomen.
Reageer
Triblade_8472 @Robbierut425 maart 2026 16:54
En wat zijn legale en illegale wijzigingen geweest?
Reageer
vickypollard @Robbierut425 maart 2026 17:06
Hoe weet je zeker dat je backup wel correct is?
Als dat een zorg is heb je een ander probleem.

Of er tussen de backup en nu nog iets bij gekomen is lijkt me makkelijk te achterhalen.
Reageer
moimeme @vickypollard25 maart 2026 17:20
Je moet wel weten wanner de hak plaatsvond. Als ze het niet weten hebben ze een groot probleem ja.

[Reactie gewijzigd door moimeme op 25 maart 2026 17:21]

Reageer
watercoolertje @Robbierut425 maart 2026 17:24
Dat is dus het lastige.
Je hebt die zekerheid helemaal nooit! Ook niet als je (denkt dat je) niet gehackt bent.
Kan tussen je oudste backup en vandaag ook gewoon een nieuw verbod bij zijn gekomen.
Daarom staat ook in mijn reactie dat het enkel sloeg op bestaande data (en daarmee dus niet op nieuwe).
Reageer
demianmonteverd @Robbierut425 maart 2026 17:42
Je kunt wellicht de access logs erbij halen en dan zie je soms wel een patroon.
Reageer
Somoghi @watercoolertje25 maart 2026 16:41
Mag toch hopen dat ze ook de stadionverboden ergens op papier gedocumenteerd/beargumenteerd hebben met een datum en vervaldatum erbij.
Reageer
hotabibber @Somoghi25 maart 2026 17:13
Lijkt mij wel, volgens mij moet dit ook gemeld worden bij de KNVB. En niet alleen de KNVB ook de politie aangezien er vaak strafbare feiten vooraf gegaan zijn aan een stadionverbod. Je krijgt die niet zomaar.
Reageer
Quintiemero @Robbierut425 maart 2026 16:37
Daarom is de term datalek zo ellendig. Het bekt lekker maar dekt totaal niet de lading van de reikwijdte van de juridische definitie.

inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

[Reactie gewijzigd door Quintiemero op 25 maart 2026 16:38]

Reageer
jumbos7 @Quintiemero25 maart 2026 17:02
Maar is de term datalek dan het probleem of de gebrekkige kennis over wat dat in juridische zin inhoudt? Bij het woord datalek is het op zich niet vergezocht dat het zo wordt gedefinieerd dat het naast data prijs gegeven aan onbevoegden ook inhoudt dat er iets verloren kan gaan door hun toedoen, zoals het wijzigen of verwijderen van gegevens.

[Reactie gewijzigd door jumbos7 op 25 maart 2026 17:03]

Reageer
moimeme @Robbierut425 maart 2026 17:16
Ja, eng. Gelukkig als het maar 20 mensen zijn valt nog mee. Kunnen ze "met de hand aanpassen". Ik ga wel van uit dat de stadionverbod ergens anders is geregistreerde.

Edit: Oeps dat zou 500 zijn.

[Reactie gewijzigd door moimeme op 25 maart 2026 17:32]

Reageer
80sdude @Robbierut425 maart 2026 17:48
het schijnt dat fotos op billboards helpen las ik recent
Reageer
JJ Le Funk 25 maart 2026 16:43
Quote: "Volgens Ajax is er geen indicatie dat de gegevens verder zijn verspreid."

Lijkt mij niet geruststellend, als data eenmaal gestolen is kan je niet voorspellen of die misbruikt of verkocht gaat worden. En welke indicatie heeft men het over, een bericht van de Politie dat een slachtoffer actief misbruik heeft gemeld? Meestal kan je niet eens bewijzen als slachtoffer van phishing of identiteitsfraude waar de bron van een aanval vandaan is gekomen.

[Reactie gewijzigd door JJ Le Funk op 25 maart 2026 17:21]

Reageer
Greppelzwerver @JJ Le Funk25 maart 2026 16:55
Wanneer een instantie die zijn veiligheid niet op orde heeft iedereen vertelt dat het wel meevalt neem ik dat sowieso met een korrel zout. Ik zou ook niet van de daken roepen dat er een megablunder is gemaakt en iedereen in de database de komende jaren een vloed aan spam en andere koppijn kan verwachten.
Reageer
laurens0619 @JJ Le Funk25 maart 2026 17:00
Het is inderdaad een hele lastige want hoe grondig onderzoek je?

Niet onderzoeken
Een beetje onderzoeken
Heel ver onderzoeken

Wij weten niet grondig onderzoek er gepleegd is.
Echter, vaak kijken ze bij dit type incidenten wel redelijk grondig maar als ze geen bewijs vinden dan is het formeel geen indicatie. Eigenlijk zou eerlijker zijn: "geen indicatie maar aannemelijk dat de data toch verspreid is"
Reageer
adje123 25 maart 2026 16:30
"Als je geen data opslaat, dan kan er ook geen data gestolen worden. Is toch logisch?" - Jordi Cruijff
Reageer
Crypto_Exfil 25 maart 2026 17:26
Als ontdekker van deze ‘hack’ wil ik benadrukken dat de situatie genuanceerder ligt dan momenteel wordt geschetst. Graag kom ik hierover in contact met de redactie.
Reageer
redtoller 25 maart 2026 16:29
Ben benieuwd in hoeverre de supporters hun seizoenskaart missen dit seizoen
Reageer
adje123 @redtoller25 maart 2026 16:36
Ik was zo stom mijn Ajax seizoenskaart op mijn bijrijdersstoel te laten liggen, was de ruit ingetikt en heeft iemand zijn kaartje erbij gelegd.
Reageer
Tweddy 25 maart 2026 18:12
Minder dan 20 mensen hebben dus een stadionverbod. Volgens mij is dat groter nieuws dan al het andere.
Reageer
Het.Draakje @Tweddy25 maart 2026 18:15
Neen, volgens NU.nl zijn er 528 mensen met een stadionverbod. En volgens bovenstaand artikel zijn van 20 van die mensen de gegevens gelekt.
Reageer
Timmy @Tweddy25 maart 2026 18:15
Volgens RTL zijn het 538 personen waarvan bij circa 20 personen de data is geraadpleegd.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq