Uma empresa de trading proprietário vazou os números de segurança social de seus operadores — o que significa a violação de dados da Topstep?

Quando os traders pensam em risco no prop trading, pensam em alavancagem, drawdown e liquidação. O que a maioria não considera é o risco contido no formulário KYC que preencheram para receber o pagamento. Dois ciberataques distintos à Topstep no final de 2025 expuseram nomes de traders, números de Segurança Social e dados de identificação governamentais.

Ações coletivas estão sendo movidas. E essa história levanta uma questão que todo investidor com conta verificada (KYC) deveria estar se fazendo agora .

Houve dois incidentes distintos, e é importante compreender ambos.

O primeiro foi um ataque DDoS em 8 de setembro de 2025. Após uma extensa revisão interna, a Topstep descobriu, em 3 de dezembro de 2025, que entre 8 de setembro e 16 de outubro, certos arquivos contendo informações de identificação pessoal podem ter sido acessados sem autorização. Os operadores afetados receberam cartas no início de janeiro de 2026 confirmando que seus nomes e números de segurança social poderiam ter sido comprometidos.

O segundo ataque foi um ataque de preenchimento de credenciais em 14 de dezembro de 2025, descoberto no dia seguinte. A resposta pública inicial da Topstep tentou atribuir esse incidente à reutilização de senhas de outros sites violados por traders — uma caracterização que atraiu críticas significativas da comunidade de traders e contribuiu para a ação judicial em andamento.

A Topstep respondeu bloqueando tráfego IP suspeito, forçando a redefinição de senhas, tornando obrigatória a autenticação multifatorial, que antes era opcional, e oferecendo serviços gratuitos de proteção contra roubo de identidade aos usuários afetados. Ações coletivas estão sendo ativamente impetradas.

Queremos ser diretos sobre algo que a maioria das reportagens sobre este incidente evitou.

A Topstep não é a única negligente. Ela foi a empresa que acabou sendo pega. A questão mais ampla é estrutural: toda empresa de prop trading que exige verificação KYC possui um conjunto de dados que inclui, no mínimo, documentos de identidade emitidos pelo governo e, em muitos casos, números de Seguro Social ou números de identificação fiscal. Esses dados existem em servidores. Esses servidores são alvos.

O setor de prop trading cresceu rapidamente com relativamente pouca atenção à sua infraestrutura de segurança de dados. Pelo que observamos no setor, a maioria das empresas não são instituições financeiras regulamentadas com padrões de segurança obrigatórios. São empresas privadas com diferentes níveis de investimento em sua segurança técnica. Ao coletarem documentos de identidade para cumprir os requisitos de processamento de pagamentos, criam uma responsabilidade que seus traders raramente se lembram de avaliar antes de enviar as informações.

A questão não é se a Topstep deveria ter feito melhor. A pergunta que todo trader financiado deve fazer antes de enviar seu próximo documento KYC é: quais dados esta empresa possui sobre mim, onde estão armazenados e que evidências tenho de que estão adequadamente protegidos?

Com base nos casos que analisamos, os traders proprietários de criptomoedas enfrentam uma versão mais acentuada desse risco do que os traders proprietários de futuros ou forex, por dois motivos.

Em primeiro lugar, as empresas proprietárias de criptomoedas operam internacionalmente com supervisão regulatória limitada. Não existe um padrão de segurança obrigatório equivalente ao PCI-DSS para processadores de pagamento ou às expectativas de cibersegurança da CFTC para corretoras de futuros registradas. O nível de exigência para o que constitui proteção de dados adequada é, na prática, definido pelo próprio julgamento de cada empresa.

Em segundo lugar, as estruturas de pagamento em plataformas de negociação proprietária de criptomoedas geralmente exigem verificação de identidade na etapa de saque, em vez de no cadastro. Isso significa que os traders às vezes enviam documentos KYC depois de já terem começado a negociar e terem lucros a receber — um momento de alta motivação em que analisar as práticas de segurança da empresa é a última coisa em que pensam.

As regras do desafio na Mubite não exigem KYC (Conheça Seu Cliente) no cadastro ou durante a fase do desafio em si. A verificação de identidade só é necessária na etapa de pagamento, o que significa que dados de identidade sensíveis são coletados de um grupo significativamente menor — apenas dos traders que passaram pelo desafio e solicitaram um saque — em vez de todos os inscritos antecipadamente. Essa janela de exposição mais restrita representa uma diferença estrutural significativa em relação às empresas que coletam documentos antes mesmo de o trader realizar uma única transação.

Se você enviou documentos KYC para alguma empresa de investimentos imobiliários, recomendamos que siga estes passos, independentemente de a empresa ter divulgado algum incidente de segurança:

• Inscreva-se em um serviço de monitoramento de crédito se você forneceu seu número de Seguro Social (SSN) para alguma empresa de investimentos. As opções gratuitas incluem as ferramentas de monitoramento dos próprios birôs de crédito, e muitas empresas sediadas nos EUA são legalmente obrigadas a oferecer esse serviço após uma violação de dados.

• Ative a autenticação multifator em todas as contas conectadas a qualquer plataforma de negociação, processador de pagamentos ou endereço de e-mail usado para atividades de negociação. Os ataques de preenchimento de credenciais são bem-sucedidos justamente porque os traders reutilizam senhas em diferentes plataformas.

• Verifique se as empresas que detêm seus dados publicaram uma política de segurança ou privacidade que descreva como os documentos de identidade são armazenados, criptografados e acessados. Caso essa informação não esteja publicada, pergunte diretamente antes de enviar os documentos.

• Monitore suas contas em qualquer empresa de prop trading que exija KYC (Conheça Seu Cliente) para atividades incomuns, principalmente em relação a solicitações de pagamento e alterações nas configurações da conta.

Os princípios de gestão de risco que protegem uma conta de negociação com fundos aplicam-se igualmente aos dados pessoais que financiam essa conta. Não se deve negociar sem um stop loss. Não entregue documentos de identidade sem compreender a proteção que eles oferecem.