business

Bedrijven als Revolut, Mistral en Lovable ondersteunen een nieuwe campagne van investeerder Balderton om ondernemers in de Europese techscene te belichten. Gisteren ging in een aantal grote Europese techhubs de campagne ‘Built in Europe’ van start. Hiermee beogen de ondernemers meer aandacht te vestigen op wat er in deze regio wordt gemaakt. Het is ook bedoeld om het lokale ambitieniveau op te schroeven en voeding te geven aan de gedachte dat al het moois en goeds niet per se uit de VS komt. Met billboards in London, Parijs, Stockholm, Berlijn en München, digitale reclame en een vacaturebank zetten de initiatiefnemers een schijnwerper op de lokale scene. Amsterdam staat niet in de lijst. De bijbehorende website BuiltInEurope.com geeft gezicht aan gevierde ondernemers. De campagne loopt in de periode waarin meerdere Europese techevents plaatsvinden, waaronder London Tech Week, Founders Forum, SxSW London, Sommarminglet in Stockholm en VivaTech in Parijs.

Anthropic zet een volgende stap richting Wall Street met een vertrouwelijke SEC-aanvraag, terwijl ook OpenAI de gang naar de beurs verkent.

Digitaal entertainment- en mediaplatform Azerion breidt zijn inventory uit met het audio-aanbod van Spotify. Spotifys Ad Exchange wordt namelijk opgenomen in Hawk DSP van Azerion, diens demand-side platform for programmatic advertising. Anders gezegd: adverteerders die via het mediabedrijf reclameruimte inkopen, krijgen daar ook de audio- en videovoorraad bij van de streamer. De Zweedse dienst is niet de eerste multimediale partner op het inkoopplatform uit Hoofddorp. Eerder waren dat Deezer, smartclip, Welect en GDR (januari 2026). Hier is een lopende alinea, waarbij de voorzitter de eerste zin voor zijn rekening neemt: De Spotify Ad Exchange biedt programmatic toegang tot de reguliere advertentieformaten, de podcast-inventory, Spotifys first-party data voor targeting en dealtypes als private marketplace, programmatic guaranteed en open auction. Hawk DSP is voor Azerion belangrijk omdat het een demand-side laag toevoegt waarmee Azerion media-inkoop rechtstreeks kan sturen over meerdere kanalen. Het maakt van Azerion niet alleen een uitgever-/ad-tech platform, maar ook een omnichannel inkoopplatform voor adverteerders en bureaus.

Intel heeft tijdens Computex 2026 de Xeon 6+-serverprocessorserie gelanceerd. Dit zijn de eerste datacenter-CPU’s die zijn gebouwd op basis van het Intel 18A-proces. De reeks van zes chips heeft maximaal 288 cores. Opvallend is dat de aankondiging gepaard gaat met een preview van de Crescent Island GPU met 480 gigabyte VRAM. Ook komt er een […]

De strategische agenda van de Nederlandse boardroom is breder dan ooit, terwijl scherp kiezen lastiger wordt en adaptiviteit mainstream is geworden. Dat blijkt uit het Strategie Trendsonderzoek 2026 van Berenschot, gebaseerd op een enquête onder ruim 600 bestuurders, directieleden en managers.

Obeya wordt wereldwijd steeds vaker ingezet als aanpak voor strategische afstemming, besluitvorming en performanceverbetering. Tijdens de Obeya Summit 2026 komen bestuurders, consultants en transformatieleiders samen om de nieuwste trends in het vakgebied en de impact van obeya te bespreken.

AVEX heeft Yielder Audiovisual en alle bijbehorende activiteiten overgenomen van IT- en communicatieverlener Yielder. De overname werd begeleid door de Rotterdamse kantoren Kruger en 9Corporate. Familiebedrijf AVEX is actief in Nederland, België, Luxemburg en het Verenigd Koninkrijk en behoort al jarenlang tot de toonaangevende audiovisuele dienstverleners binnen de zakelijke markt.

Boomi, wereldwijd leverancier van low-code integratieoplossingen, heeft Emixa uitgeroepen tot Partner of the Year voor zowel de Benelux- als de Nordics-regio. Met de jaarlijkse Partner of the Year Awards erkent Boomi de best presterende partners binnen zijn wereldwijde ecosysteem.

Organisatieadviesbureau Lysias heeft Desiree Uitzetter per 1 juni 2026 benoemd tot voorzitter van de Raad van Commissarissen. De nieuwe RvC-voorzitter volgt Hanneke Möhring op, van wie de tweede termijn volgens de statuten ten einde komt.

Adverteerders kúnnen al reclameruimte inkopen bij streaming-apps als Videoland en Amazon Prime, maar streaming-ads worden pas een serieuze vorm als Netflix zijn inventory in Nederland live zet. En dat is pas in 2027. Vanaf dat moment, zo rekende mediaubureau ZIGT vorige week voor op Emerce Digital Marketing Live, groeit het streamingbereik in een klap met twintig procent. Los van elkaar hebben Videoland, Disney+, Amazon, HBO en Viaplay elk grofweg tussen de twintig en dertig procent bereik onder hun respectievelijk kijkers. Maar de inventory van de marktleider ontbreekt nog. Ads in streamingvideo is daarom nog niet werkelijk volwassen. Als Netflix, met bijna zeven miljoen abonnees, er ook is kan een mediabureau een pallet samenstellen waarmee de adverteerder effect kan bewerkstelligen. Coo Dorine van Mullem van Talpa Media tempert overigens de verwachtingen. Gewone, lineaire televisie kan nooit ontbreken in de mediamix voor adverteerders. Tijdens haar spraakbeurs in de Beurs van Berlage zei ze: “Met televisie kun je iemand in heel korte tijd meermaals bereiken. Stel je wil in een korte actieperiode drie of meer contacten realiseren, dat lukt je niet met streamingvideo niet.” Thijs Ravensbergen van ZIGT en Van Mullem zijn het over zeker een ding eens: adverteerders moet een campagne niet meer afrekenen op bereik, maar op gerealiseerd effect. In hun beider spreekbeurt is een primair effect annex doel: aandacht krijgen.  

E-mailprovider Proton voert een aantal nieuwigheden in waardoor het makkelijker wordt om geleidelijk over te stappen van Gmail naar een Europese, veiligere provider. Proton voert namelijk een ‘langzame’ overstapdienst in. Daarbij kunnen gebruikers gewoon nog hun Gmail-account aanhouden en dat e-mailadres blijven gebruiken, maar ze gebruíken die maildienst dan via Protons interface. De gebruiker import Gmail naar de Zwitserse servers, laten nieuwe mails daar binnenkomen en kunnen nieuwe mails schrijven vanuit de wit-paars interface. Zijdelings worden trackers, advertenties en spam tegengehouden. Hiermee wil Proton zich bewijzen aan de twijfelende of nieuwe gebruiker, zonder dat deze zijn oude vertrouwde mails en maildienst aan de wilgen moet hangen. Kritiek is te horen op de kwaliteit van de zoekfunctie van Protonmail. Aangezien Gmail bovenop de technologie van een zoekmachine is gebouwd, is de zoekkwaliteit niet te evenaren. De Zwitsers zetten wel stappen vooruit. Binnenkort wordt de zoekfunctie van de mobiele app in lijn gebracht met de wel acceptabele kwaliteit van websearch.

Wingtech, de Chinese eigenaar van chipmaker Nexperia, trekt juridisch alle registers open in het conflict over wie het voor het zeggen krijgt bij de Europese bedrijven van de chipfabriek met hoofdkantoor in Nijmegen. De machtsstrijd wordt op vele fronten uitgevochten en escaleert. Deze zaak staat niet op zichzelf. De ict‑sector blijkt een opvallend instabiel speelveld voor topbestuurders. De onderstaande casussen laten een patroon zien van topmensen die soms abrupt, soms sluipend buitenspel worden gezet. 1. Wingtech vs. Nexperia – geopolitiek als breekijzer De bestuurscrisis bij Nexperia is exemplarisch voor de manier waarop geopolitiek en bestuur en toezicht in elkaar grijpen. De Ondernemingskamer schorste Nexperia-topman Zhang Xuezheng in oktober 2025 vanwege ernstige verdenkingen van wanbeleid en belangenverstrengeling. Hij zou de belangen van het Chinese moederbedrijf Wingtech boven die van het in Nijmegen gevestigde Nexperia hebben gesteld en belangrijke beslissingen hebben doorgedrukt zonder overleg met de rest van het bestuur. Wingtech probeert nu via een frontale juridische aanval de regie terug te pakken. Maar de rechter houdt voet bij stuk: de schorsing blijft van kracht en wordt zelfs aangescherpt wanneer blijkt dat ook lagere managers instructies van de geschorste topman bleven opvolgen. Daarmee wordt zichtbaar hoe diep de interne loyaliteitslijnen binnen het bedrijf lopen. Tegelijkertijd waarschuwen geopolitieke analisten dat de Nederlandse ingreep internationale repercussies kan hebben, omdat Nexperia opereert in een sector die direct raakt aan Europese strategische autonomie. 2. Centric – hoe een oprichter zijn bedrijf verliest Waar Nexperia een geopolitiek dossier is, is Centric het schoolvoorbeeld van een oprichter die door de rechter uit zijn eigen bedrijf wordt gezet. Oprichter en directeur Gerard Sanderink raakt jarenlang verwikkeld in een conflict dat de bedrijfsvoering ontwricht. De ondernemer kwam meermaals in het nieuws vanwege verdenkingen van corruptie en een openlijke ruzie met een ex. Ook zou hij onder de invloed staan van zijn nieuwe partner en  Zijn bedrijven hadden daaronder te lijden. Mede daarom werd Sanderink ook geschorst bij bouwbedrijf Strukton. Een groep Nederlandse ondernemers nam it-bedrijf Centric in 2024 over. De Ondernemingskamer van het gerechtshof in Amsterdam oordeelde dat Sanderink jarenlang wanbeleid heeft gevoerd bij Centric. Dit kwam omdat hij privéconflicten vermengde met de zakelijke belangen van het bedrijf. Sanderink gebruikte Centric-kanalen om zijn ex-partner te beschuldigen van fraude. De rechter oordeelde dat hier geen enkel bewijs voor was en verplichtte hem dit te rectificeren. Omdat hij weigerde te stoppen met de lastercampagnes en de rechterlijke vonnissen negeerde, moest hij miljoenen euro’s aan dwangsommen betalen aan zijn ex. Hij werd door de rechtbank tevens veroordeeld tot het terugbetalen van 91 miljoen euro aan Centric vanwege onttrokken gelden en leningen. Vanwege het wanbeleid werd Sanderink door de rechter geschorst als bestuurder. Het tijdelijke bestuur heeft Centric medio 2024 verkocht aan een consortium van Nederlandse investeerders om de rust te herstellen. De casus laat zien hoe governance‑mechanismen functioneren wanneer een bestuurder zelf het grootste risico vormt voor de continuïteit en hoe ver de rechter bereid is te gaan om een bedrijf te beschermen tegen zijn eigen oprichter. Door de onrust in de top werd er ook afscheid genomen van andere topbestuurders binnen het bedrijf. Een ander bekend voorbeeld van een oprichter die uit zijn bedrijf wordt gezet, is Gerard Willemse van ict-dienstverlener Inter Access. Er liep al een onderzoek bij de Ondernemerskamer naar naar het gevoerde beleid bij dat bedrijf dat na herstructurering in 2003 in de financiële problemen raakte. Maar dat onderzoek werd geschorst nadat de investeerder achter Inter Acces en de oprichter een schikking troffen. Naderhand kwam Inter Access in handen van SLTN. 3. OpenAI – de coup die terugsloeg De bestuurscrisis in 2023 bij OpeAI, het bedrijf achter ChatGPT, laat zien hoe macht in moderne ai‑bedrijven niet langer alleen bij het bestuur ligt, maar ook bij medewerkers, investeerders, aandeelhouders en ecosystemen. Wanneer ceo Sam Altman eind 2023 onverwacht wordt ontslagen wegens vermeende ondoorzichtigheid richting het bestuur, raakt de organisatie in totale chaos. Honderden medewerkers dreigen op te stappen, investeerder Microsoft schaart zich openlijk achter Altman en de druk op het bestuur loopt razendsnel op. Binnen vijf dagen keert Altman terug, terwijl juist de bestuurders die hem wegstuurden vertrekken. De casus toont hoe een bestuur dat zijn legitimiteit verliest, zelf buitenspel kan raken — een spiegelbeeld van de klassieke machtsstrijd. Andere voorbeelden van vertrokken bestuurders na ruzies met aandeelhouders of nieuwe eigenaren zijn een inkoopschandaal bij KPN. En een strijd tussen de aandeelhouders van i3 waarna de nieuwe eigenaar Ludo Baauw na allerlei zaken bij de Ondernemingskamer uiteindelijk het bedrijf weer onder de naam i3 in de markt zette. 4. Atos – strategische chaos als sluipmoordenaar Bij ict-dienstverlener Atos is het niet één conflict, maar een opeenstapeling van strategische meningsverschillen die de top onderuit haalt. Het bedrijf verkeert in 2024 in een diepe financiële en organisatorische crisis, waarin de raad van bestuur en de directie lijnrecht tegenover elkaar komen te staan over de toekomst van het bedrijf. Ceo Yves Bernaert vertrekt in 2024 al na drie maanden door een onoplosbaar conflict over opsplitsing, verkoop of herstructurering. Atos verslijt in twee jaar tijd vier ceo’s, wat de diepe bestuurlijke instabiliteit blootlegt. De zaak laat zien hoe strategische chaos uiteindelijk leidt tot bestuurlijke slijtage — en hoe een bedrijf in een neerwaartse spiraal terechtkomt wanneer de top geen gezamenlijke koers meer kan bepalen. Sinds de benoeming van Philippe Salle tot voorzitter van de ‘board of directors’ en chief executive officer met ingang van 1 februari 2025 lijkt de rust wedergekeerd te zijn. 5. Ordina BPO – overnamefrictie als katalysator voor vertrek Na de overname van Ordina BPO door Centric in 2009 botst directeur Reggie de Jong vrijwel direct met de nieuwe leiding. De meningsverschillen over integratie, cultuur en koers lopen zo hoog op dat zij daarna binnen korte tijd vertrekt. De casus laat zien hoe overnames in de ict‑sector vaak governance‑stressmomenten zijn waarin machtsverhoudingen snel verschuiven. Nieuwe eigenaren brengen nieuwe prioriteiten mee en niet elke bestuurder kan of wil daarin mee. Maar er kunnen ook hele andere oorzaken zijn van het gedwongen vertrek van bestuurders. Zoals een buitenechtelijke relatie. Oracle-topman Philips kon opstappen nadat zijn maîtresse foto’s van hen samen op billboards liet verschijnen. Ook de ceo van Astronomer, Andy Byron, stapte op nadat hij op een groot scherm was verschenen. Dat gebeurde nadat hij tijdens een concert van Coldplay door de kisscam werd gepot terwijl hij de hr-directrice van zijn bedrijf innig vasthield. Zij was niet de vrouw waarmee Byron getrouwd is. Na het uitlekken van de beelden stelde het bedrijf de topman eerst op non-actief, waarna hij zijn ontslag indiende. 6. Apple–oprichter wordt weggestuurd, maar keert succesvol terug De machtsstrijd tussen Steve Jobs en John Sculley blijft een vaste referentie in analyses over conflicten aan de top, falen van bestuur, controle en verantwoording (governance). De raad van bestuur van Apple zet mede-oprichter en visionair Jobs in 1985 aan de kant omdat zijn leiderschapsstijl en strategische keuzes te risicovol worden geacht. Deze zaak wordt regelmatig gebruikt als voorbeeld voor moderne bestuursconflicten, omdat het laat zien hoe zelfs visionaire oprichters kunnen worden overruled wanneer de continuïteit van het bedrijf in het geding komt. Jobs keert in nadat hij computerbedrijf NeXT en animatiestudio Pixar heeft opgericht in 1997 terug als Apple-ceo en loodst het bedrijf een zeer succesvolle periode in. De rode draad: macht is fragiel Macht in de ict‑sector is fragiel. Bestuurders worden buitenspel gezet wanneer geopolitieke risico’s te groot worden, een oprichter zelf het grootste risico vormt, een bestuur zijn legitimiteit verliest, aandeelhouders de regie opeisen, strategische chaos de top sloopt of financiële druk escaleert. De sector beweegt snel en wie niet meebeweegt, wordt ingehaald door toezichthouders, aandeelhouders of de realiteit. Maar er is ook plek voor een succesvolle terugkeer. Ceo‑verloop per sectorWereldwijd blijken bestuurders het meest kwetsbaar in drie sectoren: consumentengoederen en retail, technologie/ict en de gezondheidszorg. Vooral in de consumentensector ligt het gedwongen vertrek van ceo’s structureel het hoogst, met jaarlijkse ontslagpercentages tussen 12 en 17 procent. De druk van veranderend consumentengedrag, margestress en hevige concurrentie maakt topbestuurders hier snel vervangbaar.In de gezondheidszorg is het verloop sinds de pandemie sterk toegenomen. Ceo’s en cfo’s vertrekken hier in sommige jaren tot 15 procent, vooral door zware operationele druk, personeelstekorten en maatschappelijke verwachtingen die steeds hoger worden.Ook de technologiesector, inclusief ict‑bedrijven, kent een uitzonderlijk hoog verloop van circa 13 procent per jaar. Een belangrijk verschil: in tech stapt een groot deel van de ceo’s zelf op, gedreven door extreme marktdynamiek, activistische aandeelhouders en de voortdurende noodzaak om te herstructureren of te innoveren.Bron: Novo Executive Reserach en Spencer Stuart.

Het Friese technologiebedrijf Snakeware introduceert een leaseconstructie voor digitale platforms. MKB’ers die strategisch een website nodig hebben maar tegen de investering aanhikken, kunnen deze nu leasen. Aan het einde van het leasecontract komt de website, shop of app volledig in handen van de huurder. Ondernemers bouwen daarmee eigendom op in plaats van jarenlang te betalen voor iets dat nooit van hen wordt. Een beetje een professionele website laten bouwen kost al gauw tussen de tien- en vijftienduizend euro. Dat staat nog los van de zaken die er in de loop van de tijd bij komen, zoals onderhoud en eventuele uitbreidingen. Wie dat bedrag niet in een keer wil neertellen, zo legt Ate van der Meer aan Emerce uit, belandt al snel bij een abonnementsmodel waarbij de leverancier eigenaar blijft van platform, design en mogelijk zelfs de data. Snakeware wil daar met een nieuw financieel product een einde aan maken. Het bedrijf introduceert financial lease voor digitale groeiplatforms. Het rentepercentage is 5,8 procent. Het maandbedrag hangt deels af van de vraag hoeveel de MKB’er op voorhand betaalt, maar een maandabonnement begint bij een kleine tweehonderd euro. Hoe groter het abonnement, hoe meer specialistisch voorbereidings-, advies- en onderhoudswerk aan de site wordt verricht. Na de laatste betaling is alles van frontend, tot backend en de data van de klant. Alleen de eigen intellectuele eigendom van Snakeware blijft buiten de overdracht. Het digitaal vastgoed is draagbaar, wat inhoudt dat de eigenaar dat aan het einde van de lease kan meenemen naar de cloud van een andere techpartij. Ate van der Meer, mede-oprichter van Snakeware over het ontstaan van de propositie: “Wij brachten offertes uit met een duidelijke prijs, maar ondernemers kozen dan voor een concurrent die goedkoper leek. Pas later bleek die oplossing in de loop van de tijd veel duurder uit te pakken.” Die ervaring leidde tot een online configurator waarmee ondernemers zelf aan de knoppen kunnen draaien: looptijd, aanbetaling en functionaliteiten, met realtime inzicht in de maandlasten. Van der Meer benadrukt dat de rentemarge niet het primaire doel is. “We willen goede service leveren, niet maximale rente incasseren. De rente dekt risico’s en kosten af.” De cloud en de software had het bedrijf zal al staan. Snakeware hoopt dit jaar veertig tot vijftig klanten aan te trekken via het leasemodel. Voor alle klanten is een menselijke servicedesk beschikbaar. Connecties met Shopify en de grote productmanagementsystemen (PMS) zitten ingebakken. Dat laatste betreft voornamelijk verbindingen met zoek- en boeksystemen voor de recreatiebranche.

Abdoul Rasnab, security-onderzoeker, werkt al meer dan tien jaar aan het verbeteren van de veiligheid bij organisaties. Dat gebeurt doorgaans in stilte, gebonden als zijn bedrijf AquaX is aan non-disclosure overeenkomsten. Bij zijn laatste ontdekking van een enorm aantal kwetsbaarheden bij Ajax liep het echter anders. De politie beschouwt hem niet als ethische hacker. Soms gaat Abdoul Rasnab de weg op van ethische hacks, waar geen beloning tegenover staat en hooguit wat waardering. Zijn laatste ontdekking van een enorm aantal kwetsbaarheden bij Ajax pakte echter anders uit dan hij had gedacht. In plaats van waardering dreigt hij nu in aanraking te komen met het strafrecht. Op beschuldiging van computer-huisvredebreuk hield de politie hem afgelopen dinsdag aan. In maart had hij de officiële Ajax-app gedownload en deze helemaal doorzocht. Naar zijn zeggen niet met hack-tools maar gewoon met een rechtermuisklik; daarmee had hij de broncode van de club-website gelezen. En de onderzoeker vond als het ware op de deurmat de hoofdsleutel die op alle systemen bleek te werken. Vele kwetsbaarheden Ticketing, identiteiten, stadionverboden, beheer en analytics bleken voor de 35-jarige inwoner van de gemeente Buren geen geheimen meer te hebben. De app stuurde Rasnab liefst 538 stadionverboden toe zonder dat hij erom vroeg. Via het TixNGo-ticketsysteem kon hij barcodes opvragen en tickets doorverkopen. Ten bewijze deed hij dat met een ticket van algemeen directeur Menno Geelen, een transactie die hij meteen weer ongedaan maakte. Rasnab kon ook precies zien waar Geelen bij elke thuiswedstrijd zat.Het was ook mogelijk iemands digitale identiteit los te koppelen van een account en de eigen identiteit eraan koppelen. Verder bleken de data van driehonderd mensen die zich als fan bij Ajax hadden ingeschreven, open en bloot te liggen. En dat al zeven jaar lang. Monitoring en logging ontbraken. Rasnan meldde in het kader van ‘responsible disclosure’ aan Ajax ruim 37 kwetsbaarheden. Nieuwe digitale kwetsbaarheid De voetbalclub laakt de handelwijze van de man die zegt de duizenden supporters voor verder onheil te willen behoeden. Ajax meent dat Rasnab zich onrechtmatig toegang heeft verschaft tot bovengenoemde systemen. De club deed dan ook aangifte met als gevolg dat de politie op dinsdag 26 juni Rasnab in verband met de datalek aanhield. De man had in 2017 ook al een lek bij Ajax ontdekt, waarna hij contractueel met de club overeenkwam nooit meer een systeem van Ajax te testen. Maar afgelopen maart ontdekte Rasnab een nieuwe digitale kwetsbaarheid die hij naar eigen zeggen verantwoord onthulde.De man beroept zich op het maatschappelijk belang van de hack. Hij stuurde Ajax een volledige rapportage. De club zei vervolgens dat alles was opgelost. Maar Rasnab checkte dit en vond alleen maar meer gaten. De oprichter van het securitybedrijf AquaX had echter geen opdracht van Ajax om dit te doen. Dit voor de tweede keer ‘testen’ wordt mogelijk als hacken beschouwd. Want meermalen in een systeem kruipen kan de rechter zien als niet-proportioneel, zo blijkt uit jurisprudentie. Ethisch handelen? De politie vindt daarom dat Rasnab geen aanspraak kan maken op de status van ethische hacker. Hij keek niet alleen welke ‘deuren’ bij Ajax open stonden, maar ook wat daarachter zit. De man bracht 55 uur door in de systemen. Hij opende meerdere pagina’s, klikte op ‘Paginabron weergeven’ en spitte elke JavaScript-bestand door; duizenden regels code. En tussen al die regels vond hij de hoofdsleutel. Hij betwist illegaal te werk zijn gegaan. Rasnab zegt niet meer te hebben gedaan dan bestudering van de bestanden die een browser bij het bezoek aan een website downloadt. Daar kwam geen wachtwoord, inlogscherm of hackertool aan te pas.Rasnab: ‘Een moderne app is een doolhof van honderdduizenden bestanden. Dan moet je tools schrijven om automatisch te zoeken naar verborgen sleutels, interne url’s en geheime verbindingen. En die tweede sleutel werd gevonden. Op drie plekken in dezelfde app. En nog veel meer: interne configuraties, koppelingen met gok-platforms, feature flags die nooit publiek hadden mogen zijn. Alsof Ajax hun hele keuken open had laten staan.’Rasnab draaide de app in een gecontroleerde omgeving en onderschepte live het versleutelde verkeer tussen de app en de servers van Ajax. ‘Elke handshake, elk token, elke versleutelde barcode.’ Hij zag precies wat de app achter de schermen deed. Sinds 2019 was de hoofdsleutel ongewijzigd. Uiteindelijk vond hij zonder hack-tools vier (api-)sleutels op vier verschillende plekken, namelijk de website, de app, een testomgeving en een vacaturesite. Rammelende beveiliging Het ticketsysteem gaf bij het invoeren van een willekeurig klantnummer informatie prijs over alle ticketdata zonder controle of het nummer ook echt van de aanvrager was. Ook ontdekte Rasnab dat dertien personen met een actief stadionverbod nog steeds werkende seizoenkaarten hadden. De beveiliging rammelde aan alle kanten. Rasnab beschrijft in een blog ook hoe in een minuut een volledige account valt over te nemen. Hij bouwde daartoe een compleet aanvalspad.  Rasnab: ‘Ajax gebruikt zes verschillende identiteitssystemen die niet met elkaar praten. Zes nummers voor dezelfde persoon, verspreid over zes eilanden die onafhankelijk van elkaar kwetsbaar waren. Geen enkel systeem controleerde of jij was wie je beweerde te zijn.’ In de publiciteit Volgens de security-onderzoeker kan scanner-software de gesignaleerde gebreken niet opsporen omdat niet de softwarecode faalt, maar de logica kapot is. Dat wil zeggen: de volgorde van handelingen, de aannames over wie wat mag. Bij Ajax wemelde het van de logicafouten: meer dan 37. Rasnab bouwde als het ware de brug tussen de eerder genoemde zes eilanden. Volgens hem gaan cybercriminelen op dezelfde manier te werken, met dit verschil dat hij Ajax netjes opbelde en zijn ervaringen deelde. De reactie van Ajax stuit hem tegen de borst. De club verzuimde volgens hem meteen de fanbase veilig te stellen. Alleen het portaal met hun eigen spelersdata ging offline.De club ontkende in eerste instantie bijna alle problemen. Omdat Ajax zo negatief reageerde, gooide Rasnab de zaak in de publiciteit. De club zegt de lekken te hebben gedicht en de beveiliging te hebben aangescherpt.