Nach Angaben der Polizei wurde der Mann an einem Dienstagmorgen in der Gemeinde Buren wegen Computereinbruchs beim Amsterdamer Fußballclub Ajax festgenommen. Er steht im Verdacht, sich mehrfach vorsätzlich und widerrechtlich Zugang zu den IT-Systemen des Vereins verschafft zu haben.

Ajax hatte den Vorfall Ende März offengelegt. Demnach nutzte der Angreifer Schwachstellen in der IT-Infrastruktur aus, um auf Daten von einigen Hundert Personen zuzugreifen. Über dieselbe Lücke ließen sich auch Stadionverbote von weniger als 20 Personen abändern sowie gekaufte Tickets auf Dritte übertragen.

Einem Bericht von RTL zufolge ermöglichte die Sicherheitslücke darüber hinaus einen weitreichenden Zugriff auf Fan-Daten über APIs und gemeinsam genutzte Schlüssel. Der Hacker führte vor, wie sich eine VIP-Dauerkarte binnen Sekunden auf eine andere Person übertragen ließ.

Besonders brisant: Laut demselben Bericht demonstrierte er, dass er 538 Stadionverbote von Anhängern, 42.000 Dauerkarten manipulieren und Details zu mehr als 300.000 Konten einsehen konnte.

Der Verein hat die im Angriff ausgenutzten Schwachstellen inzwischen geschlossen und den Vorfall der niederländischen Datenschutzbehörde sowie der Polizei gemeldet.

Die niederländische Nationalpolizei war zuletzt mehrfach in Cyberfällen aktiv. Im September 2025 nahm sie zwei Jugendliche fest, die mithilfe eines WLAN-Sniffers in der Nähe der Büros von Europol und Eurojust sowie der kanadischen Botschaft für Russland spioniert haben sollen. Erst kürzlich beschlagnahmten Ermittler der niederländischen Finanzkriminalitätsbehörde FIOD 800 Server eines Webhosting-Unternehmens, über das Cyberangriffe, Einflussoperationen und Desinformationskampagnen ermöglicht worden sein sollen; dabei wurden zwei Männer festgenommen.