Hackers stelen Ajax-seizoenkaarten en heffen stadionverboden op via cyberaanval
Amsterdam, woensdag, 25 maart 2026.
Cybercriminelen braken in maart 2026 in bij Ajax en kregen toegang tot gegevens van meer dan 300.000 supporters. Ze konden 42.000 seizoenkaarten stelen en 538 stadionverboden bekijken en zelfs verwijderen. RTL Nieuws testte het systeem door de seizoenkaart van Ajax-directeur Menno Geelen te stelen. De hack toonde aan dat privégegevens van supporters eenvoudig aan te passen waren. Ajax dichtte alle lekken, deed aangifte en meldde het incident bij de Autoriteit Persoonsgegevens. De club waarschuwt supporters voor mogelijke phishing-e-mails als gevolg van het datalek.
Digitale inbraak met verstrekkende gevolgen
De hack bij Ajax was geen gewone cyberaanval. Criminelen kregen op 25 maart 2026 toegang tot het supporterssysteem en konden daar hun gang gaan [1][2]. Ze lazen privégegevens van meer dan 300.000 geregistreerde Ajax-fans [1][2]. Nog erger: ze konden 42.000 seizoenkaarten naar hun eigen accounts overboeken [1][2]. Supporters merkten daar niets van - hun kaart verdween gewoon uit hun account [2]. RTL Nieuws testte dit zelf door de seizoenkaart van Ajax-directeur Menno Geelen te stelen [1]. Na melding bij Ajax kreeg de directeur zijn ticket terug [1]. Voor gewone supporters was zo’n snelle oplossing er niet altijd.
Stadionverboden verdwenen met één klik
De hack ging verder dan seizoenkaarten. Criminelen zagen welke 538 Ajax-supporters momenteel een stadionverbod hebben [1][2]. Ze konden deze verboden gewoon verwijderen uit het systeem [1][2]. RTL Nieuws ontdekte bijvoorbeeld dat één supporter vorig jaar een verbod kreeg voor het binnensmokkelen van cocaïne [2]. Mensen met een stadionverbod maken zich nu zorgen om hun carrière [2]. Hun namen, e-mailadressen en geboortedatum lagen open voor criminelen [2]. Ajax bevestigt dat stadionverboden inderdaad aangepast konden worden door de zwakke digitale beveiliging [2].
Ajax dicht lekken en waarschuwt supporters
Ajax heeft alle lekken inmiddels gedicht en de beveiliging aangescherpt [1][2]. De club deed aangifte bij de politie en meldde het incident bij de Autoriteit Persoonsgegevens [1][2]. Van een paar honderd mensen werd alleen het e-mailadres bekeken [2]. Van minder dan 20 mensen met een stadionverbod werden namen, e-mailadressen en geboortedatum ingezien [2]. Ajax waarschuwt alle geregistreerde supporters om alert te blijven op ongewenste e-mails en phishingberichten [2]. De club zegt dat er nog geen aanwijzingen zijn dat gegevens verder zijn verspreid [2]. Supporters die geen bericht kregen van Ajax zijn volgens de club geen slachtoffer geworden [2].