Die niederländische Nationalpolizei teilte mit, dass der 35-Jährige in Buren festgenommen wurde. Bei der Durchsuchung seiner Wohnung beschlagnahmten die Beamten mehrere digitale Speichermedien. Den Namen des Verdächtigen sowie Hinweise auf ein mögliches Motiv nannten die Ermittler nicht.

Hintergrund der Festnahme ist ein Sicherheitsvorfall, den Ajax im März bekannt gemacht hatte. Ein Angreifer hatte eine nicht geschlossene Schwachstelle ausgenutzt, um in die Systeme des Vereins einzudringen. Ajax zufolge wurden dabei die E-Mail-Adressen mehrerer Hundert Personen offengelegt, ebenso begrenzte persönliche Informationen einer kleinen Zahl von Menschen mit Stadionverbot. Der Verein erklärte zudem, die Lücke hätte den Transfer von Tickets sowie das Verändern von Einträgen zu Stadionverboten erlauben können.

Der niederländische Sender RTL hatte zuvor berichtet, dass der Vorfall deutlich größer ausgefallen sein könnte. Nach Darstellung von RTL waren möglicherweise persönliche Daten von mehr als 300.000 registrierten Ajax-Anhängern betroffen, zudem könnten mehr als 42.000 Saisontickets in Mitleidenschaft gezogen worden sein.

Nach dem Vorfall gab Ajax an, die Schwachstelle geschlossen und eine Untersuchung eingeleitet zu haben.

Sportorganisationen sind zunehmend ins Visier von Cyberkriminellen geraten, die auf finanziellen Gewinn aus sind. 2024 legte der italienische Klub Bologna FC 1909 einen Ransomware-Angriff offen, bei dem Unternehmensdaten gestohlen wurden – darunter Finanzunterlagen, medizinische Akten von Spielern und vertrauliche Mitarbeiterinformationen.

Weitere Vorfälle trafen Paris Saint-Germain, das 2024 einen Cyberangriff auf seinen Online-Ticketverkauf meldete, sowie Manchester United, das 2020 von einem Ransomware-Angriff betroffen war. Auch nationale Verbände gerieten ins Visier: Der niederländische Fußballverband KNVB erlebte 2023 einen Ransomware-Vorfall, der französische Fußballverband legte 2025 einen Cyberangriff offen.