Нидерландский футбольный клуб «Аякс» сообщил об утечке данных после того, как хакер получил доступ к IT-системам, просмотрев информацию о нескольких сотнях человек. Уязвимости позволили переоформлять билеты и менять запреты на посещение стадиона. — bleepingcomputer.com
Нидерландский профессиональный футбольный клуб «Аякс» из Амстердама (AFC Ajax) сообщил, что хакер воспользовался уязвимостями в его IT-системах и получил доступ к данным нескольких сотен человек.
Проблемы с безопасностью также позволили переоформлять купленные билеты на других лиц и вносить изменения в запреты на посещение стадиона, наложенные на определенных лиц.
Клуб узнал о проблемах с безопасностью и их последствиях от журналистов, которым хакер передал информацию.
«Аякс» — один из самых успешных футбольных клубов, четырежды выигрывавший Лигу чемпионов УЕФА и 36 раз становившийся чемпионом Эредивизи, высшей профессиональной футбольной лиги Нидерландов.
«Недавно мы обнаружили, что хакер в Нидерландах незаконно получил доступ к частям наших систем. Данные были просмотрены», — заявил AFC Ajax.
«На данный момент нам известно, что были просмотрены только адреса электронной почты нескольких сотен человек. Кроме того, в отношении менее чем 20 человек, которым запрещено посещать стадион, был получен доступ к их именам, адресам электронной почты и датам рождения».
Журналисты RTL, получившие наводку от хакера, самостоятельно проверили уязвимости и сообщили, что им удалось переоформить абонементы с их владельцев на любых других лиц, получить доступ к записям о запретах на посещение стадиона и изменить их, а также получить широкий доступ к данным болельщиков через API и общие ключи.
В качестве демонстрации они за секунды переоформили VIP-абонемент. Что вызывает наибольшее беспокойство, RTL сообщило, что можно манипулировать 42 000 абонементов, 538 запретами на посещение стадиона для болельщиков и просматривать детали более чем 300 000 учетных записей.
«Аякс» заявляет, что привлек внешних экспертов для определения масштабов инцидента и выявления первопричины, отмечая при этом, что раскрытые данные не были скомпрометированы.
Тем временем все выявленные уязвимости устранены, и введены дополнительные меры безопасности.
Обо всем соответствующим образом уведомлены также нидерландский орган по защите данных и полиция.
Расследование RTL явно не носило злонамеренный характер. Аналогично, ограниченный доступ злоумышленника и его решение раскрыть недостатки через СМИ, а не использовать их для получения выгоды или шантажа, позволяют предположить, что уязвимости не были использованы в широких масштабах.
Однако остается неясным, были ли эти слабости в системах «Аякса» обнаружены или использованы впервые.
Болельщикам «Аякса», зарегистрированным в системах клуба или купившим абонементы, следует сохранять бдительность в отношении подозрительных сообщений, особенно тех, которые выдают себя за сообщения от клуба AFC Ajax или утверждают, что исходят от него.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas