Jak wynika z ustaleń RTL Nieuws, luka w zabezpieczeniach umożliwiała dotarcie do danych osobowych ponad 300 tys. zarejestrowanych fanów klubu, a także przejęcie lub unieważnienie ponad 42 tys. karnetów sezonowych. Według redakcji możliwe było również sprawdzenie, którzy kibice mają aktywny zakaz stadionowy, oraz usunięcie takich ograniczeń.
Dziennikarze opisali, że w ramach testu przejęli cyfrowy karnet dyrektora Ajaksu Menno Geelena, przypisując go do innej osoby. Bilet miał uprawniać do wejścia na mecz Ajax – PSV Eindhoven 2 maja, w tym do strefy VIP. Po zgłoszeniu sprawy klub przywrócił kartę do właściwego konta.
RTL Nieuws podało też, że wśród ujawnionych informacji znalazły się dane 538 osób z aktywnym zakazem stadionowym. Redakcja zweryfikowała część tych przypadków z samymi kibicami. Eksperci cytowani przez RTL ocenili, że ujawnienie takich danych może prowadzić do poważnych konsekwencji zawodowych i osobistych dla poszkodowanych, a także do prób szantażu.
Według opisu redakcji jedna z luk miała znajdować się w aplikacji klubu i pozwalać na zmianę danych konta dzięki wykorzystaniu tej samej cyfrowej autoryzacji dla różnych użytkowników. Druga miała dotyczyć strony internetowej i połączeń między systemami, w których możliwe było uzyskanie uprawnień administracyjnych.
Ajax poinformował, że po ujawnieniu problemu zaangażował zewnętrznych specjalistów, rozpoczął analizę przyczyn i skali incydentu oraz usunął znane podatności. Klub przekazał również, że zgłosił sprawę do holenderskiego organu ochrony danych osobowych i złożył zawiadomienie na policję.
"Wykryto podatności w części naszych systemów. To bardzo przykre dla naszych kibiców i dla klubu" - przekazał Menno Geelen. Dodał, że klub poinformował wszystkich posiadaczy kart o incydencie, przeprosił ich i zaapelował o ostrożność wobec podejrzanych wiadomości.
Ajax zaznaczył, że według obecnej wiedzy sposób nadużyć opisany przez dziennikarzy nie jest już możliwy. Klub poinformował także Holenderski Związek Piłki Nożnej (KNVB) oraz inne kluby, aby zwiększyć poziom czujności.
Nie wiadomo, czy z ujawnionych luk korzystali wcześniej cyberprzestępcy. Według komentatorów sportowych cytowanych przez nadawcę jest to jeden z najpoważniejszych incydentów tego typu, jakie dotknęły Ajax lub inny klub holenderskiej ekstraklasy.