Hacker Invadiu Sistemas do Ajax e Expôs 300 Mil Fãs

A Polícia Nacional dos Países Baixos prendeu na terça-feira (26/05) um homem de 35 anos, morador do município de Buren, suspeito de invadir repetidas vezes os sistemas de computador do AFC Ajax, clube de futebol de Amsterdã. O caso expôs dados pessoais de mais de 300 mil torcedores cadastrados e colocou em risco 42.168 bilhetes de temporada.

Cronologia do Caso

  • Início de 2026 — Ajax detecta acessos não autorizados aos seus sistemas
  • 25 de março de 2026 — Ajax divulga publicamente o incidente e reporta à polícia e à autoridade de proteção de dados holandesa
  • Período intermediário — Suspeito contatou jornalista da emissora RTL e revelou detalhes das vulnerabilidades, incluindo demonstração de transferência de ingressos e modificação de banimentos
  • 26 de maio de 2026 — Polícia prende o suspeito e apreende dispositivos de armazenamento
  • 28 de maio de 2026 — Caso torna-se público internacionalmente

Como o Ataque Funcionou

O invasor explorou vulnerabilidades no aplicativo oficial do clube e no site, incluindo APIs expostas sem autenticação adequada e chaves de acesso compartilhadas no código-fonte. Segundo reportagem da Help Net Security, as falhas permitiam que qualquer pessoa com conhecimento técnico acessasse dados de torcedores, transferisse ingressos entre contas e alterasse banimentos de estádio.

No total, ficaram expostos dados de 300.329 torcedores registrados, informações sobre 538 torcedores com banimentos ativos e 42.168 bilhetes de temporada que poderiam ser roubados ou desativados. O Ajax corrigiu as vulnerabilidades após a divulgação.

Impacto e Lições para o Brasil

O padrão de ataque é universal: aplicativos de clubes, federações e plataformas de ingressos frequentemente tratam suas APIs como secundárias, sem o mesmo rigor de segurança aplicado a sistemas financeiros. No Brasil, onde apps de torcedores coletam CPF, endereço, dados bancários e biometria facial para controle de acesso aos estádios, o cenário é idêntico — e potencialmente pior.

A LGPD exige notificação à ANPD em caso de incidentes com dados pessoais. Se um clube brasileiro sofresse exposição de 300 mil registros sem criptografia adequada, a multa poderia chegar a 2% do faturamento anual, limitada a R$ 50 milhões por infração.

O caso do Ajax reforça uma lição direta: apps de torcedor são alvos tão atrativos quanto apps bancários, porque concentram dados pessoais, financeiros e de acesso físico em um único sistema — frequentemente com orçamento de segurança inferior ao de um banco.

Como Se Proteger

  • Para torcedores: verifique se o app do seu clube exige autenticação em dois fatores. Se não exige, suas credenciais estão mais expostas que numa conta de email. Use senhas únicas e monitore extratos do cartão vinculado ao app.
  • Para desenvolvedores de apps esportivos: nunca exponha chaves de API no código-fonte. Implemente rate limiting, autenticação em todos os endpoints e revise permissões de APIs que lidam com dados pessoais e transações financeiras.
  • Para clubes: realize testes de intrusão anuais em apps e sites. Inclua dados de torcedores na política de classificação de dados — eles merecem o mesmo nível de proteção que dados de funcionários e parceiros.

Fontes e Referências

  • Help Net Security — Police arrest suspect in Ajax football club hack (mai. 2026) — helpnetsecurity.com
  • RTL Nieuws — Reportagem original sobre as vulnerabilidades no Ajax — rtl.nl