CoinMarketCap ontkent interne hack, maar waarschuwt wel voor phishingrisico

CoinMarketCap heeft op 25 april gereageerd op berichten over een vermeende dataset van 100 miljoen gebruikersaccounts. Volgens het platform is er tot nu toe geen bewijs van ongeautoriseerde toegang tot interne infrastructuur, databases of authenticatiesystemen.

Ook zouden geen wachtwoorden, authenticatiegegevens, financiële data of KYC-records zijn buitgemaakt. Wat CoinMarketCap wél bevestigt, is dat een kwaadwillende via user ID enumeration bepaalde openbare profielvelden heeft geschraapt uit een publieke profiel-API.

Daarmee verschuift de kern van het verhaal. Vooralsnog wijst dit niet op een klassieke interne hack, maar op geautomatiseerde scraping van publiek zichtbare accountdata. Dat maakt het incident minder zwaar dan een backend-breach, maar niet onschuldig. Juist in crypto kan ook beperkte profieldata genoeg zijn om gerichte phishing op te zetten.

De eerste ophef kwam van Cybernews op 22 april. Die site meldde dat een aanbieder op een hackersforum een dataset probeerde te verkopen met 40 tot 50 miljoen “echte” accounts en nog eens 50 tot 60 miljoen botaccounts. Cybernews kon die schaal toen niet onafhankelijk bevestigen. De redactie zag alleen een kleine sample van 13 records en schreef expliciet dat de geloofwaardigheid van de verkoper onduidelijk bleef.

CoinMarketCap neemt die claim in zijn eigen verklaring deels over, maar met een belangrijke nuance. Het bedrijf zegt dat 100 miljoen records “breed consistent” is met het aantal openbare profielrecords dat via de API toegankelijk was, maar dat dit niet hetzelfde is als 100 miljoen gecompromitteerde accounts. Volgens CoinMarketCap is bovendien niet precies vast te stellen hoeveel records daadwerkelijk zijn geschraapt, omdat die activiteit lastig te onderscheiden is van normaal API-verkeer.

Volgens het platform gaat het om vier soorten openbare profielinformatie: display handle, aanmaakdatum van het account, follower count en accountstatus. Dat is een stuk beperkter dan de eerste datalek-koppen suggereerden. Er is in de officiële verklaring geen sprake van bevestigde e-mailadressen, wachtwoorden of interne accountdata.

Toch zit daar een gevoelig detail in. CoinMarketCap schrijft dat vanaf augustus 2021 nieuwe accounts standaard een display handle kregen op basis van het deel van het e-mailadres vóór het apenstaartje. Die aanpak werd destijds ook toegepast op de bestaande gebruikersbasis van ongeveer 20 miljoen accounts. Pas begin 2022 stapte het platform over op willekeurige handles voor nieuwe accounts. Oude handles bleven staan zolang gebruikers ze niet zelf wijzigden.

Precies daar zit de praktische dreiging. CoinMarketCap benadrukt dat de geschraapte data geen bevestigde e-mailadressen bevat. Maar het bedrijf erkent tegelijk dat oudere handles sterk kunnen lijken op mailprefixen. In combinatie met waarschijnlijke domeinen of eerder gelekte datasets kunnen kwaadwillenden daar alsnog bruikbare phishingdoelen uit afleiden.

Cybernews wees daar al eerder op. De site schreef dat ogenschijnlijk beperkte profieldata, gecombineerd met merknaam en timing, kan worden gebruikt voor social engineering. Voor een groot cryptomerk als CoinMarketCap is dat extra gevoelig, omdat veel gebruikers het platform vertrouwen voor koersinformatie, watchlists en tokenresearch.

CoinMarketCap zegt inmiddels extra beveiligingsmaatregelen te nemen. Het noemt aangescherpte WAF-regels, extra rate limits, aanvullende request authentication controls en verdere API-hardening. Ook zegt het bedrijf in gesprek te zijn met relevante databeschermingsautoriteiten en meldingen te doen waar de wet dat vereist.

Daarnaast volgt directe outreach naar getroffen gebruikers. CoinMarketCap schrijft dat het vanaf 30 april 2026 e-mails gaat sturen naar alle gebruikers van wie de display handle nog uit het oude auto-populatiesysteem komt. Die groep krijgt instructies om de handle te wijzigen en 2FA in te schakelen.

Voor gebruikers in Nederland en België is de les vooral praktisch. Wie een CoinMarketCap-account van vóór begin 2022 heeft en zijn handle nooit heeft aangepast, doet er goed aan die nu te controleren. Lijkt die nog op het eerste deel van een e-mailadres, dan is wijzigen verstandig. CoinMarketCap adviseert daarnaast om tweefactorauthenticatie aan te zetten en extra alert te zijn op berichten waarin om wachtwoorden, codes, betalingen of walletkoppelingen wordt gevraagd.

De journalistiek juiste formulering blijft daarom scherp. Wat vaststaat, is dat CoinMarketCap scraping van openbare profieldata bevestigt en geen bewijs ziet van een interne hack. Wat nog niet vaststaat, is of de volledige claim van 100 miljoen records klopt en hoeveel daarvan daadwerkelijk zijn verzameld. Dat maakt dit minder een klassiek datalekverhaal en meer een privacy- en phishingverhaal met een nog onduidelijke schaal.