Ajax Amsterdam, jedan od najvećih nogometnih klubova u Nizozemskoj i Europi, potvrdio je da je pretrpio sigurnosni propust u kojem su potencijalno izloženi osjetljivi podaci oko 300.000 registriranih navijača. Klub je u službenom priopćenju za javnost objavio kako je nedavno otkrio da je haker “nezakonito pristupio dijelovima” njihovih sustava.
Prema njihovim navodima, haker je imao uvid u podatke, pri čemu je pristupio e-mail adresama “nekoliko stotina ljudi”. Iz kluba su dodali i da su za manje od 20 osoba s aktivnom zabranom pristupa stadionu pregledani podaci poput imena, e-mail adresa i datuma rođenja.
Svi pogođeni pojedinci odmah su obaviješteni o incidentu te upozoreni na moguće pokušaje prijevare putem lažnih e-mail poruka, poznatijih kao phishing. Iz Ajaxa su poručili kako je propust bio moguć zbog specifičnih “ranjivosti” u sustavu koje su u međuvremenu ispravljene.
Cijeli slučaj prijavljen je i nizozemskoj Agenciji za zaštitu podataka (DPA), kao i nadležnim policijskim tijelima koja su pokrenula istragu. Na temelju službene izjave kluba moglo bi se zaključiti da je šteta bila ograničena na manji broj korisnika čiji su podaci ionako djelomično javno dostupni.
Međutim, istraga koju je proveo lokalni medij RTL Nieuws, a prenosi TechRadar, otkrila je puno ozbiljniju sliku situacije. Etički haker koji je otkrio propust demonstrirao je kako je ranjivost zapravo utjecala na osobne podatke svih 300.000 korisnika s računom u Ajaxovoj aplikaciji.
Pokazao je da je mogao ne samo vidjeti osobne podatke stotina tisuća navijača, već i aktivno manipulirati njihovim računima, što uključuje prijenos sezonskih i pojedinačnih ulaznica na druge osobe. Kao dokaz koncepta, haker je uspješno prebacio VIP ulaznicu koja je pripadala direktoru kluba Mennu Geelenu.
Najviše zabrinjava činjenica da je haker mogao mijenjati i u potpunosti uklanjati zabrane pristupa stadionu. Ta je mogućnost predstavljala ogroman sigurnosni rizik jer je otvarala vrata povratku agresivnih navijača i huligana na tribine, čime bi se izravno ugrozila sigurnost ostalih posjetitelja.
Problem se nalazio u API-ju, odnosno komunikacijskom sučelju Ajaxove aplikacije, gdje je svaki korisnik imao isti digitalni ključ za određene radnje. “Manipuliranjem poslanog paketa podataka mogli ste izvršavati radnje u ime nekog drugog, poput prijenosa ulaznice”, objasnio je haker koji je otkrio propust.
Stručnjaci za kibernetičku sigurnost pojasnili su da je riječ o čestoj i opasnoj vrsti ranjivosti poznatoj kao “broken object-level authorization”. U ovom slučaju, to je značilo da sustav nije provjeravao ima li korisnik koji šalje zahtjev zaista ovlasti za izvođenje te radnje nad tuđim računom.
“Na ovaj je način neovlaštena osoba mogla dobiti pristup svim vrstama osjetljivih podataka koji pripadaju navijačima Ajaxa i izvoditi radnje u njihovo ime”. Ovaj incident dio je rastućeg trenda kibernetičkih napada na sportske organizacije, koje su postale primamljive mete zbog velikih baza osobnih podataka navijača i vrijednosti digitalnih sustava za prodaju ulaznica.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu