Ajax hield groot datalek in 2017 stil, ethisch hacker spreekt van racisme en intimidatie

Ajax had in 2017 ook al te maken met een groot datalek, maar hield dit destijds stil, zo laat ethisch hacker Abdoul Rasnab weten aan BNR. In plaats van een bedankje, kreeg hij destijds te maken met ‘grensoverschrijdend gedrag, intimidatie en racistische uitlatingen’. Rasnab wist ook het datalek waar Ajax momenteel mee kampt te ontdekken.

Ajax heeft momenteel te maken met een serieus datalek, zo maakte RTL Nieuws woensdag bekend. Daardoor kunnen de privégegevens van meer dan 300.000 geregistreerde fans worden ingezien, terwijl ook de ruim 42.000 seizoenkaarten kunnen worden gestolen of onbruikbaar gemaakt kunnen worden. Daar kan een seizoenkaarthouder niets tegen doen. Ajax liet bij monde van algemeen directeur Menno Geelen weten een melding te hebben gedaan bij de Autoriteit Persoonsgegevens. Daarnaast zou er aangifte zijn gedaan tegen de hacker.

De ethisch hacker die het datalek ontdekte, was Rasnab. Het was echter niet de eerste keer dat hij een probleem in de cybersecurity van Ajax aantrof. Ook in 2017 kwam hij een probleem op het spoor, waarmee hij toegang kreeg tot het ticketsysteem van de club, zo laat hij weten aan BNR. Daarmee kon hij onder meer klant- en personeelsgegevens van prominenten als Sjaak Swart inzien.

‘Grensoverschrijdend gedrag, intimidatie en racistische uitlatingen’

Toen hij dit lek aankaartte bij Ajax, werd hij naar eigen zeggen onder druk gezet om een geheimhoudingsovereenkomst te tekenen. Naast de handtekening van Rasnab staat ook die van toenmalig directeur Edwin van der Sar eronder. “Ik werd een kamertje ingestuurd. Geen normaal gesprek, geen waardering”, laat de ethisch hacker weten. “In plaats daarvan: grensoverschrijdend gedrag, intimidatie en racistische uitlatingen die ik nooit vergeet.”

“Mij werd letterlijk gezegd dat geen rechter een ‘kut-Marokkaan’ gaat geloven”, aldus Rasnab. “‘Wij zijn Ajax, we hebben genoeg middelen’, was de boodschap. Ik was jong. Ik voelde die druk.” De hacker zette uiteindelijk zijn handtekening onder de geheimhoudingsovereenkomst. “Niet omdat het klopte, maar omdat ik dacht dat ik geen keuze had.” Rasnab klopte in oktober 2024 weer aan bij Ajax om aan te geven het handelen van de club als onprettig te hebben ervaren. De hacker kreeg excuses van de Amsterdammers en werd daarnaast een seizoenkaart en een onkostenvergoeding aangeboden.

Ajax doet aangifte

Dit jaar kwam Rasnab dus opnieuw achter een datalek bij Ajax, maar de clubleiding nam hem voor zijn gevoel niet serieus toen hij hier melding van maakte. Daarnaast zouden de hoofdstedelingen hem op de eerder getekende geheimhoudingsplicht hebben gewezen, wat hem verbiedt om opnieuw in te breken in de digitale systemen van Ajax. De Amsterdammers dreigden met juridische stappen als Rasnab opnieuw zou proberen in te breken in de systemen, waarna hij naar RTL Nieuws stapte. Ajax besloot daarop om aangifte te doen.

Of er daadwerkelijk iets gedaan gaat worden met de aangifte, valt volgens BNR te betwijfelen. “Het Openbaar Ministerie heeft als uitgangspunt dat het geen strafrechtelijk onderzoek start tegen ethische hackers”, zo klinkt het. In dat geval moet een ethisch hacker wel handelen in een ‘wezenlijk maatschappelijk belang’ en moet er sprake zijn van ‘proportionele’ handelingen. Ook wordt er nagegaan of er geen makkelijkere manier was om het probleem onder ogen te brengen.