شركة تداول خاصة تُسرّب أرقام الضمان الاجتماعي لمتداوليها - ما الذي يعنيه اختراق توب ستيب؟

عندما يفكر المتداولون في المخاطر في التداول الخاص، فإنهم يفكرون في الرافعة المالية، وانخفاض رأس المال، والتصفية. لكن ما يغفل عنه معظمهم هو المخاطر الكامنة في نموذج "اعرف عميلك" (KYC) الذي ملأوه للحصول على أرباحهم. فقد كشف هجومان إلكترونيان منفصلان على منصة توبستيب في أواخر عام 2025 عن أسماء المتداولين، وأرقام الضمان الاجتماعي، وبيانات الهوية الحكومية.

بدأت الدعاوى الجماعية بالظهور. وتثير هذه القصة سؤالاً ينبغي على كل متداول ممول لديه حساب موثق من قبل "اعرف عميلك" أن يطرحه الآن .

كان هناك حادثان منفصلان، وفهم كليهما أمر مهم.

كان الهجوم الأول هجومًا من نوع DDoS في 8 سبتمبر 2025. بعد مراجعة داخلية شاملة، اكتشفت شركة توبستيب في 3 ديسمبر 2025 أنه بين 8 سبتمبر و16 أكتوبر، ربما تعرضت بعض الملفات التي تحتوي على معلومات شخصية للاختراق. وتلقى المتداولون المتضررون رسائل في أوائل يناير 2026 تؤكد احتمال تعرض أسمائهم وأرقام الضمان الاجتماعي الخاصة بهم للاختراق.

أما الهجوم الثاني فكان هجومًا لسرقة بيانات الاعتماد في 14 ديسمبر 2025، والذي تم اكتشافه في اليوم التالي. حاولت شركة توبستيب في ردها العلني الأولي أن تعزو هذا الحادث إلى قيام المتداولين بإعادة استخدام كلمات المرور من مواقع أخرى مخترقة، وهو توصيف أثار انتقادات واسعة من مجتمع التداول وساهم في الإجراءات القانونية الجارية حاليًا.

استجابت شركة توب ستيب بحظر حركة مرور بروتوكول الإنترنت المشبوهة، وفرضت إعادة تعيين كلمات المرور، وألزمت المستخدمين بتفعيل المصادقة متعددة العوامل التي كانت اختيارية سابقًا، وقدمت خدمات مجانية لحماية الهوية من السرقة للمستخدمين المتضررين. ويجري حاليًا رفع دعاوى قضائية جماعية.

نريد أن نكون صريحين بشأن أمر تجنبته معظم التغطيات الإعلامية لهذا الحادث.

لا تُعدّ شركة توب ستيب الوحيدة التي ارتكبت الإهمال، بل هي الشركة التي تم ضبطها متلبسة. تكمن المشكلة الأوسع في هيكلية النظام: فكل شركة عقارية تتطلب التحقق من هوية عملائها (KYC) تحتفظ بمجموعة بيانات تتضمن، كحد أدنى، وثائق هوية صادرة عن جهات حكومية، وفي كثير من الحالات أرقام الضمان الاجتماعي أو أرقام التعريف الضريبي. هذه البيانات موجودة على خوادم، وهذه الخوادم تُعدّ أهدافًا للاختراق.

شهدت صناعة التداول الخاص نموًا سريعًا مع قلة التدقيق في بنيتها التحتية لأمن البيانات. وبحسب ما لاحظناه في مختلف أنحاء القطاع، فإن معظم الشركات ليست مؤسسات مالية خاضعة للتنظيم وتلتزم بمعايير أمنية إلزامية. إنها شركات خاصة تتفاوت في مستويات استثمارها في أمنها التقني. وعندما تجمع هذه الشركات وثائق الهوية للامتثال لمتطلبات معالجة المدفوعات، فإنها تُنشئ مسؤولية قانونية نادرًا ما يُفكر المتداولون في تقييمها قبل تقديمها.

السؤال ليس ما إذا كان بإمكان توبستيب تقديم أداء أفضل. السؤال الذي يجب على كل متداول ممول طرحه قبل تقديم طلب اعرف عميلك التالي هو: ما البيانات التي تحتفظ بها هذه الشركة عني، وأين يتم تخزينها، وما الدليل الذي لدي على أنها محمية بشكل كافٍ؟

من خلال الحالات التي قمنا بتحليلها، يواجه متداولو العملات المشفرة نسخة أكثر حدة من هذا الخطر مقارنة بمتداولي العقود الآجلة أو الفوركس لسببين.

أولًا، تعمل شركات تداول العملات الرقمية على الصعيد الدولي في ظل رقابة تنظيمية محدودة. لا يوجد معيار أمني إلزامي يُعادل معيار PCI-DSS لمعالجي المدفوعات، أو معايير هيئة تداول السلع الآجلة (CFTC) المتعلقة بالأمن السيبراني لشركات العقود الآجلة المسجلة. وبالتالي، فإن معيار الحماية الكافية للبيانات يُحدد فعليًا وفقًا لتقدير كل شركة على حدة.

ثانيًا، غالبًا ما تتطلب هياكل الدفع في التداول الخاص بالعملات الرقمية التحقق من الهوية عند السحب وليس عند التسجيل. وهذا يعني أن المتداولين قد يقدمون مستندات "اعرف عميلك" (KYC) بعد أن يكونوا قد بدأوا التداول بالفعل ولديهم أرباح ينتظرون تحصيلها - وهي لحظة يكون فيها الحافز قويًا لدرجة أن التدقيق في ممارسات أمان الشركة هو آخر ما يفكرون فيه.

لا تتطلب قواعد التحقق من الهوية في منصة موبيت إجراءات اعرف عميلك (KYC) عند التسجيل أو خلال مرحلة التحقق نفسها. يُطلب التحقق من الهوية فقط عند مرحلة السحب، مما يعني جمع بيانات الهوية الحساسة من مجموعة أصغر بكثير - فقط المتداولين الذين اجتازوا التحقق وطلبوا سحبًا - بدلاً من جمعها من جميع المسجلين مسبقًا. يُعد هذا النطاق الأضيق للكشف عن البيانات فرقًا هيكليًا جوهريًا عن الشركات التي تجمع المستندات قبل أن يُجري المتداول أي صفقة.

إذا كنت قد قدمت مستندات اعرف عميلك (KYC) إلى أي شركة عقارية، فهذه هي الخطوات التي نوصي باتخاذها بغض النظر عما إذا كانت تلك الشركة قد كشفت عن أي حادث أمني:

• اشترك في خدمة مراقبة الائتمان إذا كنت قد قدمت رقم الضمان الاجتماعي الخاص بك لأي شركة استثمارية. تشمل الخيارات المجانية أدوات المراقبة الخاصة بمكاتب الائتمان، والعديد من الشركات الأمريكية ملزمة قانونًا بتقديم هذه الخدمة في حال حدوث اختراق.

• فعّل خاصية المصادقة متعددة العوامل على جميع الحسابات المرتبطة بأي منصة تداول أو معالج دفع أو عنوان بريد إلكتروني يُستخدم في أنشطة التداول. تنجح هجمات حشو بيانات الاعتماد تحديدًا لأن المتداولين يعيدون استخدام كلمات المرور عبر المنصات المختلفة.

• تحقق مما إذا كانت الشركات التي تحتفظ ببياناتك قد نشرت سياسة أمنية أو سياسة خصوصية توضح كيفية تخزين وثائق الهوية وتشفيرها والوصول إليها. إذا لم تكن هذه المعلومات منشورة، فاسأل مباشرةً قبل تقديم المستندات.

• راقب حساباتك في أي شركة استثمارية تتطلب التحقق من هوية العميل (KYC) للأنشطة غير المعتادة، وخاصة فيما يتعلق بطلبات الدفع وتغييرات إعدادات الحساب.

تنطبق مبادئ إدارة المخاطر التي تحمي حساب التداول الممول على البيانات الشخصية التي تمول هذا الحساب. لا تتداول بدون أمر إيقاف الخسارة. لا تُسلّم وثائق الهوية دون فهم الحماية التي توفرها.