CoinMarketCap, het prijsplatform voor crypto en op het moment van schrijven eigendom van Binance, ontkent dat het is getroffen door een datalek. Het bedrijf zegt dat zijn systemen niet zijn gehackt nadat online meldingen over uitgelekte gegevens opdoken. Het onderzoekt de signalen om zekerheid te geven aan gebruikers in Europa en daarbuiten. De kwestie raakt aan eisen uit de AVG en Europese cyberregels, die bepalen wat platforms moeten doen bij mogelijke datalekken.
Platform ontkent datalek
CoinMarketCap stelt dat er geen aanwijzingen zijn voor een inbraak in de eigen systemen. Diensten blijven normaal beschikbaar en er zijn geen verstoringen gemeld. Het platform houdt aanvullende controles om geruchten snel te kunnen ontkrachten of bevestigen.
Het bedrijf zegt logbestanden en externe meldingen door te nemen. Zulke controles moeten laten zien of er ongebruikelijke toegangspogingen zijn geweest. Ook kijkt men naar mogelijke koppelingen met bekende gelekte datasets.
Bij incidenten zoals deze geven bedrijven vaak preventief advies aan gebruikers. Denk aan het wijzigen van wachtwoorden en het inschakelen van tweestapsverificatie. Ook zonder bevestigd lek kan dat de schade bij misbruik beperken.
In 2021 doken e-mailadressen van miljoenen CoinMarketCap-gebruikers online op, zonder toegang tot de servers van het bedrijf. Dat voorval liet zien hoe gegevens elders kunnen opduiken zonder directe serverinbraak. Die geschiedenis vergroot nu de druk op heldere communicatie.
Onzekerheid rond online claims
Op sociale media en fora circuleren berichten over gelekte gebruikersdata die aan CoinMarketCap worden gelinkt. Het gaat vaak om lijsten met e-mailadressen of combinaties van inloggegevens. Zonder technische onderbouwing blijft onduidelijk of de data actueel en authentiek zijn.
Zulke lijsten worden geregeld samengesteld uit oude, openbare of eerder gelekte datasets. Aanbieders presenteren ze dan als “nieuw”, terwijl dat niet zo hoeft te zijn. Daardoor ontstaat snel onrust bij gebruikers, ook als het risico beperkt is.
Beveiligingsonderzoekers vragen in dit soort gevallen om bewijs, zoals tijdstempels, hash‑vormen van wachtwoorden of unieke interne velden. Pas dan is te toetsen of de bron echt bij het platform vandaan komt. Tot dat moment blijft elke conclusie voorlopig.
Een datalek is een incident waarbij persoonsgegevens verloren gaan of onrechtmatig worden verwerkt, bijvoorbeeld door onbevoegde toegang of publicatie.
AVG-plicht en EU-gebruikers
Voor Europese gebruikers geldt de AVG. Bij een bevestigd datalek met risico voor betrokkenen moet een organisatie binnen 72 uur de toezichthouder informeren en, als het risico hoog is, ook de betrokken personen. In Nederland is dat de Autoriteit Persoonsgegevens.
Als er geen daadwerkelijke inbraak of dataverlies is, is die meldplicht niet van toepassing. Toch verwachten EU‑gebruikers duidelijke updates en praktisch advies. Dat past bij het beginsel van transparantie uit de AVG.
Beveiligingsmaatregelen zoals versleuteling en hashing zijn cruciaal. Hashing zet wachtwoorden om in een versleutelde vingerafdruk, zodat ze niet leesbaar zijn bij diefstal. Sterke hashing en “salt” beperken het gevaar bij een eventuele kopie van een database.
Platforms die in de EU actief zijn, moeten ook rekening houden met strengere cyberregels, zoals de NIS2‑richtlijn die nationale wetgeving aanscherpt. Afhankelijk van de dienstverlening kunnen hogere eisen gelden voor detectie, respons en rapportage. Dat zet druk op snelle forensische duiding en heldere communicatie.
Hoe lekken vaak ontstaan
Een veelvoorkomend risico is “credential stuffing”. Daarbij gebruiken criminelen eerder gelekte wachtwoorden om elders in te loggen, omdat mensen wachtwoorden hergebruiken. Tweestapsverificatie via een app helpt dit te voorkomen.
Ook scraping komt voor: automatisch verzamelen van openbare gegevens met bots en algoritmen. Dat levert soms grote e‑maillijsten op die als “lek” worden verkocht. Toch is scraping niet hetzelfde als een serverinbraak.
Verder kunnen lekken ontstaan bij toeleveranciers, zoals e‑mail- of analysetools. Als die partij sneuvelt, kan data indirect bij criminelen belanden. Goede contracten en dataminimalisatie verkleinen dat risico.
Phishing blijft tenslotte een belangrijk aanvalsmiddel. Aanvallers proberen inlogcodes of 2FA‑codes te stelen via misleidende berichten. Bewustwording en waarschuwingen in de app of op de site maken gebruikers alerter.
Volgende stappen en transparantie
Om onzekerheid weg te nemen kan CoinMarketCap een tijdlijn en technische bevindingen publiceren. Denk aan welke systemen zijn gecontroleerd en wat de uitkomst is. Dat helpt gebruikers en toezichthouders om het risico te duiden.
Het delen van indicatoren van compromittering, zoals verdachte IP‑reeksen of aanmeldpatronen, ondersteunt onderzoek door derden. Zulke “IOC’s” maken het voor andere platforms makkelijker om misbruik te blokkeren. Transparantie versterkt zo de veiligheid van het hele ecosysteem.
Onafhankelijke audits en pentests geven extra vertrouwen. Een korte, openbare samenvatting van methodes en resultaten is daarbij nuttig. Daarmee krijgt het publiek inzicht zonder operationele details prijs te geven.
Voor gebruikers verandert er nu vooral dit: houd accounts in de gaten, wijzig hergebruikte wachtwoorden en zet een wachtwoordmanager en 2FA aan. Bij twijfel gebruik je een “Have I Been Pwned”-check voor je e‑mailadres. Zo beperk je de impact, ook als een lek later toch echt blijkt.
