Abdoul Rasnab, security-onderzoeker, werkt al meer dan tien jaar aan het verbeteren van de veiligheid bij organisaties. Dat gebeurt doorgaans in stilte, gebonden als zijn bedrijf AquaX is aan non-disclosure overeenkomsten. Bij zijn laatste ontdekking van een enorm aantal kwetsbaarheden bij Ajax liep het echter anders. De politie beschouwt hem niet als ethische hacker.
Soms gaat Abdoul Rasnab de weg op van ethische hacks, waar geen beloning tegenover staat en hooguit wat waardering. Zijn laatste ontdekking van een enorm aantal kwetsbaarheden bij Ajax pakte echter anders uit dan hij had gedacht. In plaats van waardering dreigt hij nu in aanraking te komen met het strafrecht. Op beschuldiging van computer-huisvredebreuk hield de politie hem afgelopen dinsdag aan.
In maart had hij de officiële Ajax-app gedownload en deze helemaal doorzocht. Naar zijn zeggen niet met hack-tools maar gewoon met een rechtermuisklik; daarmee had hij de broncode van de club-website gelezen. En de onderzoeker vond als het ware op de deurmat de hoofdsleutel die op alle systemen bleek te werken.
Vele kwetsbaarheden
Ticketing, identiteiten, stadionverboden, beheer en analytics bleken voor de 35-jarige inwoner van de gemeente Buren geen geheimen meer te hebben. De app stuurde Rasnab liefst 538 stadionverboden toe zonder dat hij erom vroeg. Via het TixNGo-ticketsysteem kon hij barcodes opvragen en tickets doorverkopen. Ten bewijze deed hij dat met een ticket van algemeen directeur Menno Geelen, een transactie die hij meteen weer ongedaan maakte. Rasnab kon ook precies zien waar Geelen bij elke thuiswedstrijd zat.
Het was ook mogelijk iemands digitale identiteit los te koppelen van een account en de eigen identiteit eraan koppelen. Verder bleken de data van driehonderd mensen die zich als fan bij Ajax hadden ingeschreven, open en bloot te liggen. En dat al zeven jaar lang. Monitoring en logging ontbraken. Rasnan meldde in het kader van ‘responsible disclosure’ aan Ajax ruim 37 kwetsbaarheden.
Nieuwe digitale kwetsbaarheid
De voetbalclub laakt de handelwijze van de man die zegt de duizenden supporters voor verder onheil te willen behoeden. Ajax meent dat Rasnab zich onrechtmatig toegang heeft verschaft tot bovengenoemde systemen. De club deed dan ook aangifte met als gevolg dat de politie op dinsdag 26 juni Rasnab in verband met de datalek aanhield. De man had in 2017 ook al een lek bij Ajax ontdekt, waarna hij contractueel met de club overeenkwam nooit meer een systeem van Ajax te testen. Maar afgelopen maart ontdekte Rasnab een nieuwe digitale kwetsbaarheid die hij naar eigen zeggen verantwoord onthulde.
De man beroept zich op het maatschappelijk belang van de hack. Hij stuurde Ajax een volledige rapportage. De club zei vervolgens dat alles was opgelost. Maar Rasnab checkte dit en vond alleen maar meer gaten. De oprichter van het securitybedrijf AquaX had echter geen opdracht van Ajax om dit te doen. Dit voor de tweede keer ‘testen’ wordt mogelijk als hacken beschouwd. Want meermalen in een systeem kruipen kan de rechter zien als niet-proportioneel, zo blijkt uit jurisprudentie.
Ethisch handelen?
De politie vindt daarom dat Rasnab geen aanspraak kan maken op de status van ethische hacker. Hij keek niet alleen welke ‘deuren’ bij Ajax open stonden, maar ook wat daarachter zit. De man bracht 55 uur door in de systemen. Hij opende meerdere pagina’s, klikte op ‘Paginabron weergeven’ en spitte elke JavaScript-bestand door; duizenden regels code. En tussen al die regels vond hij de hoofdsleutel. Hij betwist illegaal te werk zijn gegaan. Rasnab zegt niet meer te hebben gedaan dan bestudering van de bestanden die een browser bij het bezoek aan een website downloadt. Daar kwam geen wachtwoord, inlogscherm of hackertool aan te pas.
Rasnab: ‘Een moderne app is een doolhof van honderdduizenden bestanden. Dan moet je tools schrijven om automatisch te zoeken naar verborgen sleutels, interne url’s en geheime verbindingen. En die tweede sleutel werd gevonden. Op drie plekken in dezelfde app. En nog veel meer: interne configuraties, koppelingen met gok-platforms, feature flags die nooit publiek hadden mogen zijn. Alsof Ajax hun hele keuken open had laten staan.’
Rasnab draaide de app in een gecontroleerde omgeving en onderschepte live het versleutelde verkeer tussen de app en de servers van Ajax. ‘Elke handshake, elk token, elke versleutelde barcode.’ Hij zag precies wat de app achter de schermen deed. Sinds 2019 was de hoofdsleutel ongewijzigd. Uiteindelijk vond hij zonder hack-tools vier (api-)sleutels op vier verschillende plekken, namelijk de website, de app, een testomgeving en een vacaturesite.
Rammelende beveiliging
Het ticketsysteem gaf bij het invoeren van een willekeurig klantnummer informatie prijs over alle ticketdata zonder controle of het nummer ook echt van de aanvrager was. Ook ontdekte Rasnab dat dertien personen met een actief stadionverbod nog steeds werkende seizoenkaarten hadden. De beveiliging rammelde aan alle kanten. Rasnab beschrijft in een blog ook hoe in een minuut een volledige account valt over te nemen. Hij bouwde daartoe een compleet aanvalspad.
Rasnab: ‘Ajax gebruikt zes verschillende identiteitssystemen die niet met elkaar praten. Zes nummers voor dezelfde persoon, verspreid over zes eilanden die onafhankelijk van elkaar kwetsbaar waren. Geen enkel systeem controleerde of jij was wie je beweerde te zijn.’
In de publiciteit
Volgens de security-onderzoeker kan scanner-software de gesignaleerde gebreken niet opsporen omdat niet de softwarecode faalt, maar de logica kapot is. Dat wil zeggen: de volgorde van handelingen, de aannames over wie wat mag. Bij Ajax wemelde het van de logicafouten: meer dan 37. Rasnab bouwde als het ware de brug tussen de eerder genoemde zes eilanden. Volgens hem gaan cybercriminelen op dezelfde manier te werken, met dit verschil dat hij Ajax netjes opbelde en zijn ervaringen deelde. De reactie van Ajax stuit hem tegen de borst. De club verzuimde volgens hem meteen de fanbase veilig te stellen. Alleen het portaal met hun eigen spelersdata ging offline.
De club ontkende in eerste instantie bijna alle problemen. Omdat Ajax zo negatief reageerde, gooide Rasnab de zaak in de publiciteit. De club zegt de lekken te hebben gedicht en de beveiliging te hebben aangescherpt.
