El club de fútbol Ajax FC, de Países Bajos, ha confirmado una brecha de seguridad en la que un atacante accedió a parte de sus sistemas internos y expuso datos de unos pocos cientos de aficionados, incluidos correos electrónicos y, en menos de 20 casos, Names, emails y fechas de nacimiento de personas con prohibición de acceso al estadio. El club asegura que la información no ha sido filtrada públicamente y que ya ha corregido las vulnerabilidades, además de notificar a las autoridades competentes.
Lo más grave del incidente es que las fallas no solo permitían ver datos personales, sino también manipular funciones clave de la plataforma de tickets: transferir abonos a otras personas y alterar o levantar sanciones de acceso al estadio. Según las verificaciones, These weaknesses affected the mobile app, the website and poorly protected APIs, which opened the door to ticket appropriation and unauthorized access to VIP areas.
Although Ajax insists that the actual scope is limited, the case highlights the risk of combining identity, ticketing, and personal data in systems accessible via the internet. In clubs with tens of thousands of subscribers and hundreds of thousands of registered accounts, a simple technical weakness can turn into sports fraud, abuse of privileges, and exposure of sensitive information at the same time.
Fountain: Bleeping Computer