荷兰足球豪门阿贾克斯最近踢了场离谱的防守——自家系统的球门大开,黑客在场边翘着二郎腿就能当管理员。
俱乐部官方口径很克制:一名"荷兰境内的黑客"利用漏洞进入部分系统,查看了几百个邮箱地址,以及不到20名 stadium ban(球场禁入令)用户的有限个人信息。漏洞已修,监管已报,数据未外传。比赛结束,零比零。
但荷兰RTL新闻台的调查报道,把这场"友谊赛"的录像完整放了出来。他们的记者没用什么高级工具,只是对着暴露的API(应用程序接口)戳了几下,复用了系统里人人共享的数字钥匙——然后就能完全冒充其他用户操作。
季票秒转、禁赛令秒消、账户信息秒改。
RTL记者花了几秒钟,就从阿贾克斯总监Menno Geelen的账户里转走了一张VIP门票,并用它成功预约了 upcoming match( upcoming match)。俱乐部事后把票追了回来,但整个过程就像从无人看守的更衣室顺走一件球衣。
30万用户数据,42,000张季票,500份"黑历史"
官方说"几百个邮箱",实际暴露的规模完全不同。RTL发现,系统设计缺陷可能波及超过30万名注册球迷的数据,其中42,000张季票处于可被盗取或直接从账户抹除的状态。
更敏感的是500多名 stadium ban 用户的详细信息——包括禁赛原因。从与 steward( steward)的肢体冲突,到 drug-related incidents(涉毒事件),这些记录本应是内部管控资料,却被摊在API里任人翻阅。
一名受影响的 local government worker(地方政府职员)向RTL表示:"这可能毁了我的职业生涯。"他的禁赛记录里写着与 steward 的冲突,现在任何人都能查到。
阿贾克斯的声明承认记者展示了转票和修改禁赛令的能力,但对"这种不设防的系统怎么通过上线审核"避而不谈。RTL的报道指向更基础的问题:系统盲目信任请求来源,把同一把数字钥匙发给所有人,实际上让任何人都能发号施令。
这就像一个小区给每户发完全相同的门禁卡,然后惊讶地发现有人进了别人家。
API安全:足球俱乐部的技术债
阿贾克斯不是第一家在API上栽跟头的体育机构,但案例格外典型。暴露的接口、共享的密钥、缺失的身份验证——这三件套组合起来,让外部人员获得了本不该有的写入权限。
RTL的测试显示,攻击者不仅能读数据,还能执行关键操作:转移季票所有权、修改账户资料、删除或添加 stadium ban。这种权限设计违背了最小权限原则,相当于把球场 master key(万能钥匙)挂在公共厕所。
俱乐部强调"没有证据表明数据已被进一步传播",但这句标准的危机公关话术,在"记者已经成功演示攻击"的事实面前显得苍白。漏洞存在期间,是否有其他人发现并利用,根本无法追溯。
42,000张季票的市场价值、球迷对账户安全的信任、以及那500份可能外流的禁赛记录——这些损失难以用"几百个邮箱"轻描淡写带过。
体育数字化的暗面
欧洲足球俱乐部的数字化转型早已深入票务、会员管理和商业运营。阿贾克斯作为荷甲传统豪门,其线上系统承载着大量敏感数据和资金流转。但技术投入的速度,似乎没跟上安全意识的更新。
RTL的调查方法并不复杂:识别暴露的API端点、分析请求结构、复用硬编码或共享的凭证。这些属于基础的安全测试手法,却足以突破一家顶级俱乐部的防线。
事件曝光后,阿贾克斯的回应聚焦于"已修复"和"已报告",而非解释为何系统上线时缺乏基本的访问控制。这种姿态在数据保护法规日益严格的欧洲,可能引来更严厉的监管审视。
对于那名担心职业生涯的地方政府职员,以及可能同样处境的499人而言,"漏洞已修"是迟到的安慰。他们的敏感记录已经被证明是可访问的,而谁访问过、访问了多少次,无人知晓。
阿贾克斯想把比分定格在"小范围数据泄露",但RTL的进球录像还在循环播放。当防守队员还在更衣室系鞋带时,对方前锋已经带着球过了三遍门线——这时候争论越位与否,还有意义吗?
下一个问题是:还有多少俱乐部的API,正挂着同样的万能钥匙等人来取?
热门跟贴