Voetbalclub Ajax heeft in 2017 een omvangrijk datalek stilgehouden na een melding van ethisch hacker Abdoul Rasnab. Dat blijkt uit onderzoek van BNR, dat een geheimhoudingsovereenkomst heeft ingezien die destijds met hem werd gesloten en is ondertekend door onder anderen toenmalig algemeen directeur Edwin van der Sar.
Rasnab kreeg in 2017 toegang tot het ticketsysteem van de Amsterdamse club, die toen samenwerkte met Eventim. Via dat systeem kon hij persoonsgegevens van supporters en medewerkers bekijken, waaronder gegevens van clubicoon Sjaak Swart. Na zijn melding werd hij uitgenodigd voor een gesprek, waarna hij een overeenkomst moest ondertekenen waarin hij beloofde niets over het lek naar buiten te brengen en niet opnieuw in de systemen te komen zonder toestemming.
Volgens Rasnab verliep dat contact onder druk. Hij stelt dat hij zich geïntimideerd voelde en dat er geen sprake was van een gelijkwaardig gesprek. Uiteindelijk tekende hij de overeenkomst.
In oktober 2024 zocht Rasnab opnieuw contact met Ajax om zijn eerdere ervaringen te bespreken. De club bood daarop excuses aan en gaf hem een seizoenkaart en een vergoeding voor zijn eerdere melding.
Dit jaar ontdekte Rasnab opnieuw kwetsbaarheden in de digitale systemen van Ajax. Sinds 2021 werkt de club met ticketprovider Secutix. Volgens de hacker kon hij via die systemen niet alleen gegevens van seizoenkaarthouders inzien, maar ook interne e-mails en informatie over stadionverboden.
Rasnab meldt dat hij deze problemen aantrof tijdens een bredere controle van digitale systemen bij meerdere Eredivisieclubs. Daarbij zouden de risico’s bij Ajax het grootst zijn geweest.
Waarschuwing en dreiging met juridische stappen
Toen hij de club hierover informeerde, werd volgens hem verwezen naar de eerdere geheimhoudingsovereenkomst. In een mail zou Ajax hebben gewaarschuwd voor mogelijke juridische stappen als hij opnieuw toegang probeerde te krijgen of medewerkers benaderde.
Rasnab stapte vervolgens naar RTL Nieuws om het lek openbaar te maken. Ajax heeft daarop aangifte tegen hem gedaan en het datalek gemeld bij de Autoriteit Persoonsgegevens.
Aangiftes tegen ethische hackers komen weinig voor. Het Openbaar Ministerie hanteert als uitgangspunt dat hackers die kwetsbaarheden melden in het maatschappelijk belang doorgaans niet strafrechtelijk worden vervolgd, mits zij niet verder gaan dan noodzakelijk.
Ajax wil inhoudelijk niet reageren en verwijst naar een eerder afgegeven verklaring.