Napad na Ajax otkrio podatke navijača i omogućio preuzimanje ulaznica
BleepingComputer piše da je fudbalski klub Ajax Amsterdam pretrpeo bezbednosni incident u kojem su iskorišćene ranjivosti u internim sistemima, što je omogućilo pristup podacima dela navijača i manipulaciju kupljenim ulaznicama. Ajax je jedan od najpoznatijih evropskih fudbalskih klubova, sa velikom bazom navijača i sistemima za sezonske karte, pristup stadionu i evidenciju zabrana ulaska, pa ovakav propust pogađa i reputaciju i operativni rad kluba. Prema navodima iz teksta, bile su moguće promene podataka o zabranama ulaska, prebacivanje sezonskih karata na druge osobe i širok pristup navijačkim podacima preko API-ja i deljenih ključeva.
Ovakav slučaj pokazuje da bezbednosni propust u sistemima za karte i korisničke naloge ne ugrožava samo privatnost, već i samu kontrolu pristupa događajima. Kada napadač može da menja ulaznice i evidenciju zabrana, problem prelazi iz IT incidenta u pitanje fizičke bezbednosti, poverenja korisnika i integriteta poslovnog procesa.
- Obavestiti korisnike da obrate pažnju na sumnjive poruke koje se predstavljaju kao komunikacija kluba
- Rotirati API ključeve i druge deljene pristupne podatke povezane sa incidentom
- Preispitati kontrole nad prenosom ulaznica i izmenama podataka o zabranama ulaska
- Proveriti da li postoje tragovi ranije ili šire zloupotrebe istih slabosti
- Ojačati kontrolu pristupa API-jima i ograničiti upotrebu deljenih ključeva