Coinbase Datalek 2025: Dit Is Gestolen En Wat Je Moet Weten

Achtergrond van de datalek bij Coinbase in mei 2025

Coinbase, de grootste cryptocurrency-exchange in de Verenigde Staten, ontving op 11 mei 2025 een ongewenste e-mail van een onbekende dreigingsactor. Deze beweerde gevoelige informatie over klanten te bezitten en eiste een losgeld van $20 miljoen.

Voordat we de datalek nader bekijken, is het interessant om te analyseren hoe dit kon gebeuren bij een beursgenoteerd bedrijf dat maandelijks miljoenen uitgeeft aan cybersecurity. In februari meldde blockchainonderzoeker ZachXBT een toename van diefstallen waarbij Coinbase-gebruikers betrokken waren. Hij wijt dit aan agressieve risicomodellen en benadrukt Coinbase’s falen om jaarlijks $300 miljoen aan verliezen te voorkomen door social engineering-fraude.

Een tabel die ZachXBT op X deelde, toonde aan dat er tussen december 2024 en januari 2025 $65 miljoen van gebruikers was gestolen. Hij voegde eraan toe dat de werkelijke verliezen mogelijk hoger zijn, aangezien zijn gegevens enkel afkomstig waren van directe berichten over on-chain diefstallen en geen rekening hielden met ondersteuningstickets van Coinbase en politierapporten die hij niet kon inzien.

De vrees dat cybercriminelen waardevolle informatie zouden stelen, kwam op 11 mei uit toen Coinbase een blogpost publiceerde die bevestigde dat rekeningbevoegdheden, ID-afbeeldingen, telefoonnummers, huisadressen en gedeeltelijk verborgen bankgegevens waren gestolen tijdens het datalek.

Op 21 mei wisselde dezelfde dreigingsactor ongeveer $42,5 miljoen van Bitcoin (BTC) naar Ether (ETH) via THORChain. Ze gebruikten de invoergegevens van Ethereum-transacties om “L bozo” te schrijven, gevolgd door een meme-video van NBA-speler James Worthy die een sigaar rookt, wat leek te verwijzen naar een eerdere opmerking van ZachXBT, die later het bericht op zijn Telegram-kanaal benadrukte.

Wat gebeurde er: Tijdlijn van het Coinbase-datalek

Het datalek bij Coinbase in 2025 was geen typische crypto-hack waarin smart contracts of blockchain-kwetsbaarheden werden benut. Het had eerder de kenmerken van een traditionele IT-veiligheidsfout, gekenmerkt door interne manipulatie, bedrijfsspionage en een afpersingspoging.

Hieronder volgt een overzicht van hoe het incident zich heeft ontwikkeld:

• Wervingsinsider en informatie-diefstal begint: Onbekende cyberaanvallers begonnen enkele buitenlandse klantenservicemedewerkers (gevestigd in India) te rekruteren die voor Coinbase werkten. Deze insiders kregen betaald om gevoelige klantgegevens en interne documentatie te lekken, vooral met betrekking tot klantenservice en accountbeheersystemen. De gestolen informatie was bedoeld voor toekomstige impersonatiefraudes gericht op gebruikers.
• Detectie van beveiliging en beëindiging van werknemers: Het interne beveiligingsteam van Coinbase ontdekte uiteindelijk verdachte activiteiten die verbonden waren met deze werknemers. De betrokken medewerkers werden snel ontslagen en het bedrijf waarschuwde de betrokken gebruikers. Hoewel slechts 69.461 accounts werden getroffen, een fractie van Coinbase’s gebruikersbasis, maakte de diepte van de gestolen persoonlijke gegevens het datalek significant.
• Afpersingspoging via e-mail (11 mei 2025): Coinbase ontving een ongewenste e-mail met de claim intern systeemdetails en persoonlijk identificeerbare informatie (PII) te bezitten. Dit werd later bevestigd als geloofwaardig in een 8-K SEC-dienstopdracht.
• Coinbase weigert $20 miljoen losgeld te betalen (14 mei 2025): In plaats van de afpersing te accepteren, keerde Coinbase de situatie om. Het bedrijf meldde het datalek aan de wetshandhaving, maakte het publiekelijk bekend en bood een beloning van $20 miljoen voor informatie die leidde tot de arrestatie van de aanvallers, waarmee ze de defensie in een aanval omzetten.
• Openbaarmaking van het datalek en publieke kennisgeving: Kort na de SEC-dienstopdracht bevestigde Coinbase publiekelijk het datalek en verduidelijkte de reikwijdte en aard van de aanval. Een kennisgeving van datalek werd ingediend bij het kantoor van de procureur-generaal van Maine, waarin officieel werd vermeld dat 69.461 gebruikers waren getroffen.

Deze tijdlijn weerspiegelt hoe een cryptobedrijf anders reageerde op een poging tot cyberafpersing, met transparantie, weerstand en gedurfde tegenmaatregelen. Dit zou mogelijk veranderingen teweeg kunnen brengen in de manier waarop bedrijven reageren op bedreigingen van cybercriminelen.

Wist u dat? De Lazarus-groep van Noord-Korea heeft sinds 2017 meer dan $6 miljard aan crypto gestolen, waaronder een recordbedrag van $1,46 miljard van Bybit in 2025.

Welke data werden gecompromitteerd bij het datalek van Coinbase in 2025?

Volgens een kennisgevingsbrief die door Coinbase werd uitgegeven, zochten aanvallers deze informatie omdat zij van plan waren social engineering-aanvallen uit te voeren. De gestolen informatie kon hen helpen geloofwaardig over te komen bij slachtoffers en mogelijk te overtuigen om hun fondsen over te maken.

Coinbase gaf details over de informatie waar dreigingsactoren toegang toe hebben gehad en wat ze niet konden krijgen.

Wat de aanvallers kregen

• Naam, adres, telefoonnummer en e-mailadres
• Afbeeldingen van overheidsidentificatie (bijvoorbeeld rijbewijs, paspoort)
• Gemaskerde Social Security (alleen de laatste vier cijfers)
• Accountgegevens (balansoverzichten en transactiegeschiedenis)
• Gemaskerde bankrekeningnummers en enkele bankrekeningidentificaties
• Beperkte bedrijfsgegevens (inclusief documenten, opleidingsmateriaal en communicatie die beschikbaar zijn voor ondersteuningsmedewerkers)

Wat de aanvallers niet konden krijgen

• Inloggegevens of 2FA-codes
• Privésleutels
• Toegang tot Coinbase Prime-accounts
• Enige mogelijkheid om klantfondsen te verplaatsen of te benaderen
• Toegang tot enige hot of cold wallets van Coinbase of klanten van Coinbase

Wist u dat? In 2022 verloor Crypto.com $30 miljoen uit 483 accounts. Aanvankelijk beweerden ze dat er geen fondsen waren gestolen, maar later gaven ze het datalek toe en vergoedden ze de slachtoffers, wat het belang van transparantie in crypto-hacks onderstreept.

Hoe Coinbase reageerde op het criminele datalek in 2025

Als reactie op het datalek van 2025 implementeerde Coinbase een alomvattende strategie om schade te beperken, getroffen gebruikers te ondersteunen en de beveiligingsinfrastructuur te versterken.

Belangrijkste acties die door Coinbase zijn ondernomen, omvatten:

• Weigering om losgeld te betalen: Coinbase weigerde het geëiste losgeld van $20 miljoen. In plaats daarvan richtte het bedrijf een beloningsfonds van $20 miljoen op voor informatie die leidde tot de arrestatie en veroordeling van de verantwoordelijken.
• Klantvergoeding: Het bedrijf heeft zich gecommitteerd aan het vergoeden van klanten die misleid zijn om fondsen te verzenden als gevolg van het datalek. De geschatte kosten voor remediatie en vergoedingen variëren tussen $180 miljoen en $400 miljoen.
• Dieftbescherming diensten: Het bedrijf biedt alle getroffen individuen een jaar gratis kredietbewaking en identiteitsbeschermingsdiensten. Dit omvat kredietbewaking, een verzekering voor schadevergoeding van $1 miljoen, diensten voor identiteitsherstel en monitoring van het dark web om te detecteren of persoonlijke informatie op illegale online platformen verschijnt.
• Versterkte klantbeveiligingen: Getroffen accounts vereisen extra ID-verificatie voor grote opnames, inclusief verplichte waarschuwingen over oplichting om verdere social engineering-aanvallen te voorkomen.
• Versterking van ondersteuningsoperaties: Coinbase opent een nieuw ondersteuningscentrum in de VS. Er zijn sterkere beveiligingscontroles en monitoring op alle locaties geïmplementeerd om interne bedreigingen te voorkomen.
• Samenwerking met wetshandhaving: Het bedrijf werkt nauw samen met Amerikaanse en internationale rechtshandhavingsinstanties. Insiders die betrokken waren bij het datalek zijn ontslagen en doorverwezen voor strafrechtelijke vervolging.
• Transparantie en communicatie: Coinbase heeft getroffen klanten onmiddellijk op de hoogte gesteld zodra het datalek was herkend. Het biedt voortdurende updates over het datalek en de genomen maatregelen om dit aan te pakken.

Deze maatregelen weerspiegelen de toewijding van Coinbase aan klantbescherming en zijn proactieve benadering van uitdagingen op het gebied van cybersecurity.

Wist u dat? Crosschain-bruggen, zoals de Nomad Bridge, verloren in 2022 $190 miljoen door complexe kwetsbaarheden in smart contracts. Deze bruggen zijn favoriete doelwitten voor hackers omdat ze grote crypto-activa opslaan, waardoor ze lucratieve doelwitten zijn.

Hoe u veilig kunt blijven in het geval van data-inbreuken zoals bij Coinbase

In de nasleep van grootschalige datalekken bij crypto-platforms is het belangrijk dat u proactieve stappen onderneemt om uzelf te beschermen tegen social engineering-aanvallen.

Hier is hoe u veilig kunt blijven in een dergelijk geval:

• Deel nooit gevoelige informatie met imitaties: Oplichters doen zich vaak voor als medewerkers van de klantenservice of beveiligingsagenten na een datalek. Ze kunnen u onder druk zetten om fondsen te verplaatsen naar crypto-wallets die zij met u delen of gevoelige informatie te onthullen onder verschillende voorwendselen. Deel nooit uw wachtwoord, codes voor twee-factor-authenticatie (2FA) of herstelzinnen met dergelijke imitaties. Geen enkele crypto-exchange zal u vragen om crypto naar een “nieuwe” of “veilige” wallet over te maken.
• Activeer het toestemmingslijst van wallet-adressen: Sommige exchanges bieden deze functie, die opnames beperkt tot vooraf goedgekeurde wallet-adressen die u volledig beheert. Dit voorkomt ongeautoriseerde overboekingen, zelfs als uw account is gecompromitteerd.
• Schakel sterke 2FA in: Gebruik voor 2FA een hardwarebeveiligingssleutel of een vertrouwde authenticatie-app. Vermijd SMS-gebaseerde 2FA, die kwetsbaar is voor SIM-swapaanvallen.
• Wees voorzichtig met ongevraagde communicatie: Hang onmiddellijk op als iemand belt die beweert van een crypto-platform te zijn en om beveiligingsgegevens of verzoeken om activa-overdrachten vraagt. Reageer niet op onbekende sms-berichten of e-mails met uw persoonlijke informatie.
• Vergrendelen eerst, onderzoeken later: Als u iets verdachts opmerkt, vergrendel dan onmiddellijk uw account via de applicatie of het platform en meld het incident aan de klantenservice via officiële kanalen.
• Blijf geïnformeerd: Controleer regelmatig beveiligingstips en updates van uw crypto-diensten om scam-tactieken te herkennen en te vermijden.