Wie AFC Ajax mitteilte, verschaffte sich ein Hacker in den Niederlanden unbefugt Zugang zu Teilen der Systeme: „Daten wurden eingesehen." Nach derzeitigem Stand seien ausschließlich die E-Mail-Adressen einiger hundert Personen betroffen. Bei weniger als 20 Menschen mit einem Stadionverbot habe der Angreifer darüber hinaus Namen, E-Mail-Adressen und Geburtsdaten abgegriffen.

Von dem Vorfall erfuhr der Klub durch Journalisten, die der Hacker selbst informiert hatte. Reporter des Senders RTL prüften die gemeldeten Schwachstellen daraufhin eigenständig. Nach ihrer Darstellung gelang es ihnen, Dauerkarten von den eigentlichen Inhabern auf beliebige Personen zu übertragen, Einträge zu Stadionverboten einzusehen und zu ändern sowie über Programmierschnittstellen (APIs) und gemeinsam genutzte Schlüssel breiten Zugriff auf Fan-Daten zu erlangen.

In einer Demonstration schrieben die Journalisten eine VIP-Dauerkarte innerhalb von Sekunden um. Besonders brisant: Nach Angaben von RTL ließen sich 42.000 Dauerkarten und 538 Stadionverbote von Anhängern manipulieren sowie Details zu mehr als 300.000 Konten einsehen.

Ajax gehört zu den erfolgreichsten Fußballvereinen überhaupt – mit vier Siegen in der UEFA Champions League und 36 Titeln in der Eredivisie, der höchsten Profiliga der Niederlande.

Der Verein hat nach eigenen Angaben externe Fachleute hinzugezogen, um den Umfang des Vorfalls zu bestimmen und die Ursache zu ermitteln. Die offengelegten Daten seien nicht durchgesickert. Sämtliche identifizierten Schwachstellen seien inzwischen behoben, zusätzliche Sicherheitsmaßnahmen wurden eingeführt. Auch die niederländische Datenschutzbehörde und die Polizei wurden informiert.

Die Recherche von RTL war erkennbar nicht böswillig. Auch der begrenzte Zugriff des Angreifers und seine Entscheidung, die Lücken über die Medien offenzulegen, statt sie für Profit oder Erpressung zu nutzen, deuten darauf hin, dass die Schwachstellen nicht in großem Stil missbraucht wurden. Offen bleibt allerdings, ob diese Schwachstellen in den Systemen von Ajax zum ersten Mal entdeckt oder ausgenutzt wurden.

Fans, die sich in den Systemen des Klubs registriert oder Dauerkarten erworben haben, sollten gegenüber verdächtigen Nachrichten wachsam bleiben – insbesondere gegenüber solchen, die vorgeben, vom Verein AFC Ajax zu stammen.