Ο ολλανδικός επαγγελματικός ποδοσφαιρικός σύλλογος Άγιαξ Άμστερνταμ (AFC Ajax) αποκάλυψε ότι ένας χάκερ εκμεταλλεύτηκε τρωτά σημεία στα συστήματα πληροφορικής του και είχε πρόσβαση σε δεδομένα που ανήκαν σε μερικές εκατοντάδες άτομα.
Τα ζητήματα ασφαλείας επέτρεψαν επίσης τη μεταφορά αγορασμένων εισιτηρίων σε άλλους και επέτρεψαν τροποποιήσεις στις απαγορεύσεις στα γήπεδα που επιβλήθηκαν σε ορισμένα άτομα.
Ο σύλλογος έμαθε για τα θέματα ασφαλείας και την επίδρασή τους από δημοσιογράφους που ενημερώθηκαν από τον χάκερ.
Το AFC Ajax είναι ένας από τους πιο επιτυχημένους ποδοσφαιρικούς συλλόγους, κατακτώντας το UEFA Champions League τέσσερις φορές και με 36 τίτλους Eredivisie, το κορυφαίο επαγγελματικό πρωτάθλημα ποδοσφαίρου στην Ολλανδία.
“Πρόσφατα ανακαλύψαμε ότι ένας χάκερ στην Ολλανδία απέκτησε παράνομα πρόσβαση σε μέρη των συστημάτων μας. Τα δεδομένα προβλήθηκαν.” δήλωσε η AFC Ajax.
“Αυτό που γνωρίζουμε τώρα είναι ότι προβλήθηκαν μόνο οι διευθύνσεις email μερικών εκατοντάδων ατόμων. Επιπλέον, για λιγότερα από 20 άτομα με απαγόρευση σταδίου, έγινε πρόσβαση στα ονόματά τους, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τις ημερομηνίες γέννησής τους.”
Οι δημοσιογράφοι του RTL που έλαβαν μια συμβουλή από τον χάκερ επαλήθευσαν ανεξάρτητα τα τρωτά σημεία και ανέφεραν ότι μπόρεσαν να μεταφέρουν εισιτήρια διαρκείας από τους κατόχους τους σε αυθαίρετα άτομα, να έχουν πρόσβαση και να τροποποιούν αρχεία απαγόρευσης γηπέδων και να έχουν ευρεία πρόσβαση στα δεδομένα θαυμαστών μέσω API και κοινόχρηστων κλειδιών.
Σε μια επίδειξη, επαναχορήγηση εισιτηρίου διαρκείας VIP σε δευτερόλεπτα. Το πιο ανησυχητικό, δήλωσε το RTL Θα μπορούσε να χειραγωγήσει 42.000 εισιτήρια διαρκείας, 538 αποκλεισμούς οπαδών στα γήπεδα και να δει λεπτομέρειες για περισσότερους από 300.000 λογαριασμούς.
Η AFC Ajax λέει ότι έχει προσλάβει εξωτερικούς εμπειρογνώμονες για να προσδιορίσουν το εύρος του περιστατικού και να εντοπίσουν τη βασική αιτία, ενώ σημειώνει ότι τα εκτεθειμένα δεδομένα δεν έχουν διαρρεύσει.
Εν τω μεταξύ, όλες οι ευπάθειες που εντοπίστηκαν έχουν διορθωθεί και έχουν εισαχθεί πρόσθετα μέτρα ασφαλείας.
Η ολλανδική αρχή προστασίας δεδομένων, καθώς και η αστυνομία, έχουν επίσης ενημερωθεί σχετικά.
Η έρευνα του RTL ήταν σαφώς μη κακόβουλη. Ομοίως, η περιορισμένη πρόσβαση και η απόφαση του εισβολέα να αποκαλύψει τα ελαττώματα μέσω των μέσων ενημέρωσης, αντί να τα εκμεταλλευτεί για κέρδος ή εκβιασμό, υποδηλώνει ότι τα τρωτά σημεία δεν καταχράστηκαν σε μεγάλη κλίμακα.
Ωστόσο, παραμένει ασαφές εάν αυτή ήταν η πρώτη φορά που ανακαλύφθηκαν ή αξιοποιήθηκαν αυτές οι αδυναμίες στα συστήματα του Ajax.
Οι οπαδοί του Άγιαξ που έχουν εγγραφεί στα συστήματα του συλλόγου ή έχουν αγοράσει εισιτήρια διαρκείας θα πρέπει να παραμείνουν σε επαγρύπνηση για ύποπτες επικοινωνίες, ειδικά εκείνων που υποδύονται ή ισχυρίζονται ότι προέρχονται από τον σύλλογο AFC Ajax.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
VIA: bleepingcomputer.com
