Утечка данных Ajax: сезонные абонементы и запреты для болельщиков под угрозой манипуляций

Амстердамский футбольный клуб «Аякс» сообщил, что неизвестный злоумышленник получил доступ к части его ИТ-систем и завладел адресами электронной почты нескольких сотен человек.

Взлом стал возможен из-за уязвимостей в приложении и на сайте клуба, включая незащищённые API и общие ключи доступа.

Клуб заявил, что для менее чем 20 лиц, которым запрещён вход на стадион, были скомпрометированы имена, адреса электронной почты и даты рождения. О произошедшем клуб предупредил журналист RTL, с которым вышел на связь хакер.

«На данный момент мы знаем, что был получен доступ к части наших систем и данных, но у нас нет свидетельств, что эти данные были распространены далее. Тем не менее, мы напоминаем всем, что всегда полезно сохранять бдительность в отношении нежелательных писем (спама) или фишинговых сообщений», — говорится в заявлении «Аякса».

Журналист также продемонстрировал, что билеты можно передавать другим лицам, а стадионные запреты — изменять.

По данным RTL, в результате взлома появилась возможность доступа к личным данным более 300 000 зарегистрированных болельщиков «Аякса», а также к краже или блокировке более 42 000 абонементов. Владельцы абонементов не могут этому помешать, так как билет может исчезнуть из их учётной записи и стать недействительным. Кроме того, стал доступен список 538 болельщиков «Аякса», на которых распространяется действующий запрет на посещение стадиона.

Клуб заявил, что начал расследование с привлечением внешних экспертов для установления причин и масштабов инцидента, устранил уязвимости и усилил безопасность. Было подано заявление в полицию, а также уведомлен голландский орган по защите данных.

«Мы вновь советуем всем быть особенно внимательными к подозрительным письмам и никогда не переходить по ссылкам и не открывать вложения от неизвестных отправителей», — предупредил «Аякс».

Тот факт, что информация об уязвимости была передана журналисту, а не оказалась в даркнете, может указывать на отсутствие у хакера злонамеренных намерений.

Уязвимости APIУтечка данныхБезопасность приложенийРасследование инцидента