Le club de football professionnel néerlandais AFC Ajax a récemment annoncé qu’un piratage a permis à un individu d’exploiter des failles dans ses systèmes informatiques, accédant à des données personnelles de plusieurs centaines de personnes.
Ces failles ont également permis le transfert de tickets achetés vers d’autres utilisateurs, ainsi que des modifications concernant des interdictions d’accès au stade pour certaines personnes.
Ce sont des journalistes qui, alertés par le hacker, ont informé le club des problèmes de sécurité rencontrés.
AFC Ajax, l’un des clubs les plus titrés d’Europe, a remporté la UEFA Champions League à quatre reprises et compte 36 titres de la Eredivisie, le championnat professionnel des Pays-Bas.
Selon une déclaration du club, “nous avons récemment découvert qu’un hacker aux Pays-Bas a accédé illégalement à certaines parties de nos systèmes. Des données ont été consultées.” Ils ont précisé que seulement les adresses email de quelques centaines de personnes avaient été consultées, et pour moins de 20 individus sous interdiction d’accès, des informations comme leurs noms et dates de naissance ont été accédées.
Une enquête menée par des journalistes de RTL, qui ont reçu une alerte du hacker, a confirmé les vulnérabilités. Ils ont pu transférer des abonnements de saison ainsi que modifier des dossiers d’interdiction d’accès au stade, accédant à des données via des API et des clés partagées.
Lors d’une démonstration, il leur a fallu quelques secondes pour réassigner un abonnement VIP. Plus préoccupant encore, RTL a indiqué qu’il était possible de manipuler jusqu’à 42 000 abonnements, 538 interdictions d’accès et d’obtenir des détails sur plus de 300 000 comptes.
AFC Ajax a fait appel à des experts externes pour évaluer l’ampleur de l’incident et identifier la cause profonde, tout en affirmant que les données exposées n’avaient pas été divulguées. Toutes les vulnérabilités identifiées ont été corrigées et des mesures de sécurité supplémentaires ont été mises en place.
Les autorités néerlandaises de protection des données, ainsi que la police, ont été informées de la situation.
Il est important de souligner que l’enquête menée par RTL n’a pas été malveillante. De plus, l’accès limité du hacker et sa décision de rendre les failles publiques plutôt que de les exploiter pour un gain personnel suggèrent qu’aucune exploitation à grande échelle n’a eu lieu.
Il n’est cependant pas certain que ces failles dans les systèmes d’Ajax aient été découvertes ou exploitées pour la première fois. Les supporters d’AFC Ajax ayant enregistré leurs informations auprès du club ou acheté des abonnements de saison doivent faire preuve de vigilance face à des communications suspectes, notamment celles se faisant passer pour le club.