Kebobolan Sistem! Hacker Susupi Data Tiket dan Cabut Status Blacklist Suporter Klub Sepak Bola Ajax
Baca dalam 60 detik
- Kegagalan Sistem Fatal: Klub sepak bola Belanda AFC Ajax mengalami peretasan sistem yang tidak hanya membocorkan data pribadi tetapi juga memberikan akses tingkat admin kepada peretas.
- Akses Ilegal Tiket VIP: Melalui celah pada API dan kunci digital seorang jurnalis bahkan berhasil membuktikan bahwa tiket VIP milik Direktur klub dapat dicuri dan ditransfer dalam hitungan detik.
- Skandal Data Sensitif: Selain manipulasi tiket peretas juga berpotensi mengakses dan menghapus riwayat hukuman dari ratusan suporter yang di-blacklist karena kasus kekerasan hingga narkoba.
Klub raksasa sepak bola asal Belanda, AFC Ajax, baru saja mengakui adanya pelanggaran data serius (data breach) pada sistem internal mereka. Insiden ini membuktikan bahwa pertahanan digital mereka ternyata jauh lebih rapuh dibandingkan lini pertahanan di lapangan hijau, di mana peretas tidak hanya berhasil mencuri data, tetapi juga mengambil alih kendali layaknya admin sistem.
Pihak klub awalnya mengklaim bahwa "seorang peretas di Belanda" mengeksploitasi kerentanan untuk mengakses alamat email beberapa ratus orang dan data pribadi terbatas dari sekitar 20 suporter yang sedang dilarang masuk stadion (stadium ban). Ajax mengklaim telah menambal celah keamanan tersebut dan melaporkannya kepada pihak berwenang. Namun, investigasi independen dari media RTL News mengungkap fakta yang jauh lebih mengerikan.
- Pengambilalihan Akun Total: Peretas dapat bertindak sebagai pengguna lain sepenuhnya, mengubah detail akun, hingga mentransfer tiket musiman ke pihak lain.
- Mencuri Tiket VIP Direktur: Wartawan RTL berhasil membuktikan kerentanan ini dengan "mencuri" tiket VIP milik Direktur Ajax, Menno Geelen, hanya dalam hitungan detik.
- Pencabutan Blacklist Stadion: Celah sistem memungkinkan peretas untuk membatalkan sanksi larangan masuk stadion bagi suporter yang sebelumnya dihukum.
- Skala Risiko: Lebih dari 300.000 data suporter terdaftar dan 42.000 tiket musiman sempat berada dalam status sangat rentan untuk dicuri atau dihilangkan.
Lebih parahnya lagi, RTL menemukan detail sensitif dari sekitar 500 suporter yang di-blacklist beserta alasan spesifik hukuman mereka—mulai dari perkelahian dengan petugas keamanan hingga insiden terkait narkoba. Kebocoran data semacam ini tentu saja menimbulkan ancaman privasi yang serius, di mana salah satu korban yang merupakan pegawai pemerintah lokal menyatakan kekhawatirannya bahwa data tersebut bisa menghancurkan kariernya jika tersebar luas.
| Penyebab Kerentanan Teknis | Dampak Eksploitasi |
|---|---|
| API (Application Programming Interface) yang Terekspos | Memungkinkan pihak luar untuk menarik data sensitif dari database server secara langsung tanpa otentikasi yang memadai. |
| Penggunaan Ulang Kunci Digital (Shared Digital Keys) | Sistem memercayai permintaan yang seharusnya ditolak, memungkinkan siapa saja untuk "menyamar" menjadi admin atau pengguna sah. |
Meskipun pihak AFC Ajax berusaha mengecilkan skala insiden ini dengan hanya berfokus pada "jumlah paparan data yang terbatas", kegagalan arsitektur keamanan dasar ini menjadi peringatan keras bagi klub olahraga besar lainnya di Eropa untuk mulai serius membenahi infrastruktur digital mereka.
