Ajax football club hack exposed fan data, enabled ticket hijack

Cyberattaque contre l’Ajax Amsterdam : détournement de données et de billets

Le club de football de l’Ajax Amsterdam a été victime d’une intrusion informatique exploitant des failles dans ses systèmes de gestion. Un pirate a pu accéder aux données personnelles de centaines de supporters et manipuler des services critiques, permettant notamment le transfert frauduleux de billets de saison et la modification de dossiers d’interdiction de stade.

Points clés :

• Accès illégitime : Un pirate a exploité des API et des clés partagées non sécurisées.
• Données exposées : Adresses e-mail de quelques centaines de personnes, ainsi que les noms et dates de naissance d’une vingtaine d’individus sous interdiction de stade.
• Risque potentiel : L’enquête journalistique a démontré qu’il était techniquement possible de détourner 42 000 abonnements et d’accéder aux informations de plus de 300 000 comptes.
• Réaction : Le club a colmaté les brèches, renforcé la sécurité de ses systèmes et notifié les autorités compétentes (police et autorité de protection des données).

Vulnérabilités :

• Absence de CVE spécifique : L’article ne mentionne pas de CVE particulière, mais pointe vers des failles de conception critiques : défauts de contrôle d’accès sur les API et mauvaise gestion des clés d’accès partagées.

Recommandations :

• Pour le club : Poursuivre l’audit externe de sécurité et maintenir une surveillance accrue des logs d’accès.
• Pour les supporters : Rester vigilant face aux tentatives de phishing ou aux communications suspectes se faisant passer pour le club, en vérifiant systématiquement l’authenticité des expéditeurs.

Source