Ajax meldt een datalek na ontdekking van kwetsbaarheden in de eigen app en website door een beveiligingsonderzoeker. Door ontbrekende authenticatie konden accounts en tickets zonder wachtwoord worden benaderd en aangepast. Daarnaast gaf een onbeveiligde api met beheerdersrechten toegang tot gevoelige gegevens, waaronder informatie over stadionverboden, die ook gewijzigd konden worden. E-mailadressen van enkele honderden personen zijn buitgemaakt en mogelijk waren gegevens van honderdduizenden gebruikers inzichtelijk. Er zijn geen aanwijzingen dat de data is misbruikt. Ajax heeft de kwetsbaarheden verholpen en melding gedaan bij de Autoriteit Persoonsgegevens. [Update: Op 26 maart 2026 is bekend geworden dat Ajax het datalek al in 2017 had, maar dit destijds niet openbaar heeft gemaakt en via een geheimhoudingsovereenkomst heeft afgehandeld.] (Bron: tweakers.net)