Vermeend datalek bij AirdropAlert: walletadressen en e-mails genoemd

Rond het Rotterdamse cryptoplatform AirdropAlert circuleert opnieuw een claim over een mogelijk datalek. De echtheid van de aangeboden dataset is niet onafhankelijk bevestigd, maar de genoemde combinatie van e-mailadressen, walletadressen en socialmedia-gegevens zou bij echtheid vooral phishingrisico’s vergroten.

Volgens de claim zou data worden aangeboden die afkomstig zou zijn van AirdropAlert. Het zou onder meer gaan om gebruikersnamen, e-mailadressen, walletadressen, socialmedia-accounts, IP-adressen en accountmetadata.

Voorlopig is er geen onafhankelijke bevestiging dat de dataset echt uit systemen van AirdropAlert komt.

Dat is een belangrijke nuance. Op ondergrondse fora worden vaker datasets aangeboden die later samengesteld, verouderd, herverpakt of verkeerd toegeschreven blijken te zijn.

AirdropAlert ontkende in december 2025 al eerdere datalekclaims. Het platform schreef toen dat er geen datalek was geweest en dat de beschreven data volgens het bedrijf niet in zijn systemen bestond.

In die verklaring stelde AirdropAlert dat het geen gebruikersaccounts, wachtwoorden, IP-adressen, geolocatie, walletgegevens of gekoppelde socialmedia-accounts opslaat. Het bedrijf noemde eerdere claims daarom technisch onlogisch.

Die ontkenning bewijst niet automatisch dat de nieuwe claim vals is. Wel betekent het dat bewijs extra belangrijk is.

Zolang er geen bevestiging is van AirdropAlert, een toezichthouder of een onafhankelijke beveiligingsonderzoeker, blijft dit een vermeend datalek.

Er is wel een opvallend detail. Op de huidige Airdrop Eligibility Checker-pagina van AirdropAlert staan invoervelden voor een walletadres en e-mailadres. De pagina zegt dat gebruikers hun walletadres kunnen invullen om mogelijke airdrop-eligibility te controleren, en vermeldt dat de checker wordt aangedreven door Dropsbot.

Dat maakt de datavraag relevanter. Ook als AirdropAlert zelf stelt geen walletgegevens in eigen systemen op te slaan, kunnen gebruikers op de site wel wallet- en e-mailgegevens invullen voor een tool die door een derde partij wordt aangedreven.

Daarnaast vermeldt de privacyverklaring van AirdropAlert, laatst bijgewerkt in 2018, dat het platform persoonsgegevens kan verwerken zoals e-mailadres, naam, IP-adres, telefoonnummer, walletadres, social media en KYC-informatie.

Dat betekent niet dat deze gegevens daadwerkelijk zijn gelekt. Het laat wel zien waarom duidelijkheid van het platform belangrijk is: welke gegevens worden vandaag verwerkt, door wie, waar opgeslagen en hoe lang bewaard?

Een walletadres is vaak openbaar. Transacties op blockchains zoals Ethereum, Solana of Bitcoin zijn immers zichtbaar.

Het risico ontstaat wanneer dat adres wordt gekoppeld aan andere gegevens. Denk aan een e-mailadres, gebruikersnaam, IP-adres, Telegram-account of X-profiel.

Dan wordt phishing veel persoonlijker.

Een aanvaller kan zien welke tokens iemand bezit, welke protocollen hij gebruikt en of een wallet interessant genoeg is voor gerichte aanvallen.

Daarna kan een nepbericht volgen over een airdrop, claimpagina, verificatie of beveiligingsupdate. De gebruiker wordt gevraagd een wallet te verbinden, een transactie te ondertekenen of zelfs een seed phrase in te voeren.

Dat laatste is altijd fout. Een legitieme airdrop vraagt nooit om je seed phrase of private key.

Als een organisatie vaststelt dat er echt persoonsgegevens zijn gelekt, kan een melding bij de Autoriteit Persoonsgegevens verplicht zijn. De AP zegt dat een datalek binnen 72 uur moet worden gemeld als dat verplicht is. Bij een hoog risico moeten slachtoffers zo snel mogelijk worden geïnformeerd.

Op dit moment is niet duidelijk of AirdropAlert een melding heeft gedaan. Ook is niet duidelijk hoeveel gebruikers mogelijk geraakt zouden zijn, of de dataset echt is en of de gegevens actueel zijn.

Daarom moet de berichtgeving voorzichtig blijven. Er is een serieuze claim, maar nog geen bewezen incident.

Gebruikers van AirdropAlert of vergelijkbare airdropplatforms doen er verstandig aan extra alert te zijn op onverwachte berichten.

Let vooral op e-mails, Telegram-berichten, Discord-uitnodigingen of X-berichten over “extra rewards”, “urgent verification”, “wallet check” of “claim before deadline”.

Gebruik voor airdrops bij voorkeur aparte wallets. Bewaar geen grote bedragen op wallets die je gebruikt voor experimentele claims.

Controleer regelmatig token approvals en smartcontract-toestemmingen. Trek onbekende of oude toestemmingen in via betrouwbare tools.

Open claimlinks niet vanuit e-mails of privéberichten. Ga zelf naar de officiële website van het project en controleer domeinen zorgvuldig.

Deel nooit je seed phrase, private key of herstelwoorden. Niet met AirdropAlert, niet met een project, niet met een helpdesk en niet met een “recovery service”.

De belangrijkste conclusie is voorlopig simpel: er circuleert een datalekclaim rond AirdropAlert, maar de herkomst en echtheid van de dataset staan niet vast.

Dat maakt het geen bevestigde hack. Het maakt het wel een waarschuwing.

In crypto hoeft een aanvaller geen private key te stelen om schade aan te richten. Soms is een gekoppeld profiel al genoeg om iemand veel overtuigender te benaderen.

Totdat er meer duidelijkheid komt, is voorzichtigheid de juiste houding: geen paniek, wel extra alert op gerichte nep-airdrops en phishing.