Apprendre que l’on a été la cible d’un hacker par des journalistes, c’est ce qui est arrivé au club de football néerlandais Ajax Amsterdam (AFC Ajax), comme le rapporte le site spécialisé Bleeping Computer. Des failles de sécurité dans ses systèmes informatiques ont en effet permis à un pirate informatique d’accéder aux données de nombreux supporters.
“Seules les adresses mail de quelques centaines de personnes ont été vues. Par ailleurs, pour moins de 20 personnes interdites de stade, leurs noms, adresses mail et et dates de naissance ont été consultés”, a précisé le club de football dans un communiqué.
Vol d’abonnements
Mais ce n’est pas le plus gros problème concernant cet incident. Prévenu par le hacker, un journaliste de RTL Nieuws a en effet pu exploiter les failles de sécurité du club pour modifier des interdictions de stade et transférer des abonnements annuels. En l’espace de quelques secondes, il a ainsi pu réattribuer un abonnement VIP à une autre personne. Au total, il aurait pu, s’il le voulait, voler 42.000 de ces derniers, mais aussi lever les interdictions des 538 supporters visés par un bannissement de stade. Ce piratage lui a également permis de voir les données de plus de 300.000 comptes.
L’AFC Ajax a depuis corrigé les vulnérabilités en question et mis en place d’autres mesures de sécurité. Mais rien n’indique qu’elles n’ont pas été exploitées avant, le hacker qui a préféré prévenir RTL Nieuws de leur existence plutôt que de les exploiter n’étant peut-être pas le premier à les découvrir.
“Nous n’avons pour l’instant aucune indication laissant penser que ces données aient été diffusées plus largement”, a en outre fait savoir le club de football, invitant tout de même les supporters à rester vigilant face aux éventuelles tentatives d’hameçonnage. Des cybercriminels pourraient en effet se servir de ces informations pour inciter les supporters à en transmettre d’autres, notamment bancaires, via des mails frauduleux.