Een 35-jarige man uit de gemeente Buren is dinsdagochtend aangehouden in het kader van een onderzoek naar vermeende hackactiviteiten gericht tegen AFC Ajax. De autoriteiten vermoeden dat hij begin 2026 herhaaldelijk zonder toestemming illegaal de computersystemen van de club heeft binnengedrongen, meldt BNR.
Het beveiligingslek werd in maart 2026 ontdekt na onderzoek door RTL Nieuws. Volgens het rapport had de vermoedelijke hacker journalisten geïnformeerd over zwakke punten in de digitale systemen van de club.
Door beveiligingsfouten in de Ajax-app was het mogelijk mogelijk om toegang te krijgen tot privégegevens van ruim 300.000 geregistreerde Ajax-fans.
Autoriteiten zeggen dat de hacker toegang heeft gekregen tot informatie die is gekoppeld aan meer dan 42.000 seizoenskaarten. Door het beveiligingslek hadden deze tickets digitaal opnieuw kunnen worden toegewezen of volledig kunnen worden uitgeschakeld.
De inbreuk onthulde ook informatie over 538 personen tegen wie een stadionverbod geldt. Onderzoekers zeiden dat de kwetsbaarheid van het systeem zelfs gebruikt had kunnen worden om die verboden zonder toestemming op te heffen.
De verdachte heeft zijn handelen afgeschilderd als verantwoordelijke openbaarmaking nadat hij de kwetsbaarheden via de media had blootgelegd, maar de politie zegt dat hij niet voldoet aan de norm van een ethische hacker.
Volgens richtlijnen van het Openbaar Ministerie dienen beveiligingsgebreken direct en uitsluitend aan de betrokken organisatie te worden gemeld. Onderzoekers zeggen dat de man herhaaldelijk illegaal toegang heeft verkregen tot systemen, terwijl Ajax pas op de hoogte werd gebracht van de kwestie na berichtgeving in de media, wat de club ertoe aanzette een strafrechtelijke klacht in te dienen.
De politie heeft meerdere digitale opslagmedia, zoals computers en harde schijven, in beslag genomen tijdens een huiszoeking in de woning van de verdachte in Buren als onderdeel van het lopende onderzoek.
Nadat Ajax het lek had ontdekt, heeft Ajax het incident onmiddellijk gemeld bij de Autoriteit Persoonsgegevens. De club zegt dat uit het onderzoek tot nu toe blijkt dat alleen de e-mailadressen van enkele honderden personen zijn geraadpleegd, evenals de namen en geboortedata van een beperkt aantal mensen waarvoor een stadionverbod geldt.
Onderzoekers blijven onderzoeken of er daadwerkelijk gegevens zijn gestolen of gedeeld door de verdachte. Ajax heeft inmiddels het veiligheidsgat gedicht en de cybersecuritymaatregelen aangescherpt.
