El club de fútbol Ajax FC, de Países Bajos, ha confirmado una brecha de seguridad en la que un atacante accedió a parte de sus sistemas internos y expuso datos de unos pocos cientos de aficionados, incluidos correos electrónicos y, en menos de 20 casos, nombres, emails y fechas de nacimiento de personas con prohibición de acceso al estadio. El club asegura que la información no ha sido filtrada públicamente y que ya ha corregido las vulnerabilidades, además de notificar a las autoridades competentes.
Lo más grave del incidente es que las fallas no solo permitían ver datos personales, sino también manipular funciones clave de la plataforma de tickets: transferir abonos a otras personas y alterar o levantar sanciones de acceso al estadio. Según las verificaciones, estas debilidades afectaban a la app móvil, a la web y a APIs mal protegidas, lo que abría la puerta a la apropiación de entradas y al acceso no autorizado a zonas VIP.
Aunque Ajax insiste en que el alcance real es limitado, el caso pone de relieve el riesgo que supone combinar identidad, ticketing y datos personales en sistemas accesibles por internet. En clubes con decenas de miles de abonados y cientos de miles de cuentas registradas, una simple debilidad técnica puede convertirse en fraude deportivo, abuso de privilegios y exposición de información sensible al mismo tiempo.
Fuente: Bleeping Computer