Firma zabývající se prodejem nemovitostí zveřejnila čísla sociálního zabezpečení svých obchodníků – co znamená únik dat z Topstepu

Když obchodníci přemýšlejí o riziku v prop tradingu, myslí na pákový efekt, drawdown a likvidaci. Co většina z nich nezvažuje, je riziko skryté ve formuláři KYC, který vyplnili, aby dostali zaplaceno. Dva samostatné kybernetické útoky na Topstep koncem roku 2025 odhalily jména obchodníků, čísla sociálního zabezpečení a identifikační údaje vládních institucí.

Nyní se podávají hromadné žaloby. A tento příběh vyvolává otázku, kterou by si měl v tuto chvíli položit každý financovaný obchodník s účtem ověřeným KYC .

Došlo k dvěma odlišným incidentům a pochopení obou se týkalo věcí.

Prvním byl DDoS útok 8. září 2025. Po rozsáhlém interním přezkoumání společnost Topstep 3. prosince 2025 zjistila, že mezi 8. zářím a 16. říjnem mohly být určité soubory obsahující osobní údaje předmětem neoprávněného přístupu. Dotčení obchodníci obdrželi začátkem ledna 2026 dopisy potvrzující, že jejich jména a čísla sociálního zabezpečení mohla být ohrožena.

Druhým byl útok typu „credentials stuffing“ ze 14. prosince 2025, který byl odhalen následující den. První veřejná reakce společnosti Topstep se pokusila připsat tento incident obchodníkům, kteří opakovaně používají hesla z jiných napadených stránek – tato charakteristika vyvolala značnou kritiku ze strany obchodní komunity a přispěla k nyní probíhajícím právním krokům.

Společnost Topstep reagovala blokováním podezřelého provozu IP adres, vynucením resetování hesla, zavedením vícefaktorového ověřování, které bylo dříve volitelné, a nabídkou bezplatných služeb ochrany proti krádeži identity pro dotčené uživatele. V současné době jsou aktivně podávány hromadné žaloby.

Chceme být upřímní ohledně něčeho, čemu se většina zpravodajství o tomto incidentu vyhýbala.

Topstep není výhradně nedbalý. Je to firma, která byla přistižena. Širší problém je strukturální: každá firma, která vyžaduje ověření KYC, uchovává datovou sadu, která zahrnuje minimálně vládou vydané doklady totožnosti a v mnoha případech čísla sociálního zabezpečení nebo daňová identifikační čísla. Tato data existují na serverech. Tyto servery jsou cílem.

Odvětví obchodování s nemovitostmi se rychle rozvíjí s relativně malou kontrolou jeho infrastruktury zabezpečení dat. Z toho, co jsme v celém odvětví pozorovali, vyplývá, že většina firem nejsou regulované finanční instituce s povinnými bezpečnostními standardy. Jsou to soukromé společnosti s různou úrovní investic do svého technického zabezpečení. Když shromažďují doklady totožnosti za účelem splnění požadavků na zpracování plateb, vytvářejí si závazek, který jejich obchodníci jen zřídka vyhodnotí před odesláním.

Otázka nezní, zda měl Topstep postupovat lépe. Otázka, kterou by si měl položit každý financovaný obchodník před dalším podáním žádosti o KYC, zní: jaké údaje o mně tato firma uchovává, kde jsou uloženy a jaké mám důkazy o tom, že jsou dostatečně chráněny?

Z případů, které jsme analyzovali, vyplývá, že obchodníci s kryptoměnami čelí tomuto riziku akutnější verzi než obchodníci s futures nebo forexem, a to ze dvou důvodů.

Zaprvé, firmy zabývající se kryptoměnami působí mezinárodně s omezeným regulačním dohledem. Neexistuje žádný povinný bezpečnostní standard ekvivalentní PCI-DSS pro zpracovatele plateb ani očekávání CFTC v oblasti kybernetické bezpečnosti pro registrované firmy zabývající se futures. Laťku pro to, co představuje odpovídající ochranu údajů, si ve skutečnosti stanoví každá firma na základě vlastního úsudku.

Za druhé, výplatní struktury v obchodování s kryptoměnami často vyžadují ověření identity ve fázi výběru, nikoli při registraci. To znamená, že obchodníci někdy předkládají dokumenty KYC poté, co již obchodují a mají k dispozici zisky – v okamžiku vysoké motivace, kdy je prověřování bezpečnostních postupů firmy to poslední, na co myslí.

Pravidla pro výzvy na Mubite nevyžadují KYC při registraci ani během samotné fáze výzvy. Ověření identity je vyžadováno pouze ve fázi výplaty, což znamená, že citlivé údaje o identitě jsou shromažďovány od výrazně menší skupiny – pouze od obchodníků, kteří výzvou prošli a požádali o výběr – spíše než od každého registrovaného předem. Toto užší okno expozice je významným strukturálním rozdílem oproti firmám, které shromažďují dokumenty dříve, než obchodník uskuteční jediný obchod.

Pokud jste předložili dokumenty KYC jakékoli firmě zabývající se ochranou osobních údajů, doporučujeme provést tyto kroky bez ohledu na to, zda daná firma oznámila nějaký bezpečnostní incident:

• Pokud jste své číslo sociálního zabezpečení poskytli úvěrové kanceláři, zaregistrujte se do služby monitorování úvěruschopnosti. Bezplatné možnosti zahrnují monitorovací nástroje samotných úvěrových kanceláří a mnoho firem se sídlem v USA je ze zákona povinno je po narušení bezpečnosti nabízet.

• Povolte vícefaktorové ověřování na každém účtu připojeném k jakékoli obchodní platformě, platebnímu procesoru nebo e-mailové adrese používané pro obchodní aktivitu. Útoky typu „credential stuffing“ jsou úspěšné zejména proto, že obchodníci opakovaně používají hesla napříč platformami.

• Zkontrolujte, zda firmy, které uchovávají vaše data, zveřejnily bezpečnostní zásady nebo zásady ochrany osobních údajů, které popisují, jak jsou doklady totožnosti ukládány, šifrovány a jak se k nim přistupuje. Pokud tyto informace zveřejněny nejsou, zeptejte se přímo před odesláním dokumentů.

• Sledujte své účty u jakékoli provizní firmy, která vyžadovala KYC (Know Your Cut Your Credit) v případě neobvyklé aktivity, zejména v souvislosti s žádostmi o výplaty a změnami nastavení účtu.

Zásady řízení rizik , které chrání financovaný obchodní účet, platí stejnou měrou i pro osobní údaje, které účet financují. Bez stop-lossu byste neobchodovali. Nepředávejte doklady totožnosti, aniž byste pochopili, jaká ochrana se za nimi skrývá.