300 тысяч пострадавших: один из самых известных футбольных клубов Европы столкнулся с утечкой данных
В Ajax произошла массовая утечка данных.
У Ajax возникла проблема, которая для футбольного клуба бьет не только по репутации, но и по доверию болельщиков. Из-за взлома в сеть могли попасть персональные данные более 300 тысяч фанатов, а найденные уязвимости, как выяснилось, позволяли не только смотреть чужие сведения, но и вмешиваться в операции с билетами и абонементами.
В официальном сообщении Ajax рассказал, что хакер незаконно получил доступ к части внутренних ИТ-систем. После обнаружения взлома клуб начал внутреннюю проверку и привлек внешних специалистов по кибербезопасности. По данным Ajax, злоумышленник просмотрел адреса электронной почты нескольких сотен человек. Кроме того, пострадали личные и чувствительные данные менее чем 20 человек, которым ранее запретили посещать стадион.
Клуб сообщил, что уже нашел и закрыл уязвимости, через которые произошел взлом. Дополнительно Ajax ввел новые меры защиты, чтобы снизить риск повторной атаки. Болельщиков, которых затронул инцидент, уже уведомили. В клубе также посоветовали внимательнее относиться к подозрительным письмам и сообщениям, не переходить по сомнительным ссылкам и не открывать вложения от неизвестных отправителей.
На текущий момент Ajax не видит признаков того, что похищенные данные начали распространять. При этом клуб отдельно предупредил болельщиков о риске спама и фишинговых сообщений после таких инцидентов.
О случившемся уже уведомили нидерландский регулятор по защите данных. Кроме того, Ajax подал заявление в полицию.
Первым о взломе сообщил RTL Nieuws. Издание связалось с этичным хакером, который показал, насколько серьезной оказалась проблема. По его словам, атакующий мог не только просматривать данные более 300 тысяч болельщиков, но и передавать сезонные абонементы и билеты другим людям, а также менять или удалять записи о запрете на посещение стадиона.
Как утверждает исследователь, у пользователей приложения Ajax оказался одинаковый цифровой ключ для изменения данных учетной записи. Достаточно было подменить отправленный пакет данных, чтобы выполнить действие от имени другого человека, например передать чужой билет. Еще одна уязвимость на сайте клуба открывала доступ к списку болельщиков, которым запретили посещать стадион. Кроме того, в нескольких программных интерфейсах Ajax можно было найти цифровой ключ администратора. По словам хакера, такая схема давала постороннему доступ к чувствительным данным болельщиков и позволяла выполнять различные действия без разрешения.
Генеральный директор Ajax Менно Гелен признал, что после инцидента у болельщиков наверняка появились вопросы о безопасности данных. В разговоре с RTL Nieuws руководитель клуба отметил, что стопроцентной защиты не существует, однако задача клуба состоит в том, чтобы максимально снижать риск подобных утечек.