Инвестиционная компания допустила утечку номеров социального страхования своих трейдеров — что означает утечка данных Topstep.

Когда трейдеры думают о рисках в проп-трейдинге, они представляют себе кредитное плечо, просадку и ликвидацию. Однако большинство не учитывает риск, связанный с формой KYC, которую они заполнили для получения выплат. В конце 2025 года две отдельные кибератаки на Topstep привели к утечке имен трейдеров, номеров социального страхования и данных, удостоверяющих личность.

В настоящее время подаются коллективные иски. И эта история поднимает вопрос, который должен прямо сейчас задать себе каждый трейдер, имеющий подтвержденный KYC-счет .

Произошли два отдельных инцидента, и понимание обоих имеет важное значение.

Первая атака представляла собой DDoS-атаку 8 сентября 2025 года. После тщательного внутреннего анализа компания Topstep 3 декабря 2025 года обнаружила, что в период с 8 сентября по 16 октября некоторые файлы, содержащие персональные данные, могли быть подвергнуты несанкционированному доступу. В начале января 2026 года пострадавшие трейдеры получили письма, подтверждающие, что их имена и номера социального страхования могли быть скомпрометированы.

Вторая атака, связанная с подбором учетных данных, произошла 14 декабря 2025 года и была обнаружена на следующий день. В первоначальном публичном ответе Topstep попыталась объяснить этот инцидент тем, что трейдеры повторно использовали пароли с других взломанных сайтов — такое утверждение вызвало значительную критику со стороны торгового сообщества и способствовало началу судебного разбирательства.

В ответ компания Topstep заблокировала подозрительный IP-трафик, обязала пользователей сбросить пароли, ввела многофакторную аутентификацию, которая ранее была необязательной, и предложила пострадавшим пользователям бесплатные услуги по защите от кражи личных данных. В настоящее время активно подаются коллективные иски.

Мы хотим прямо сказать то, чего в большинстве материалов об этом инциденте избегали.

Компания Topstep не является единственной, кто проявил халатность. Это фирма, которую поймали. Более широкая проблема носит структурный характер: каждая проп-фирма, требующая проверки KYC, хранит набор данных, который включает, как минимум, удостоверения личности, выданные государственными органами, а во многих случаях — номера социального страхования или налоговые идентификационные номера. Эти данные хранятся на серверах. Эти серверы являются мишенью.

Индустрия проп-трейдинга быстро развивается, при этом инфраструктура защиты данных подвергается относительно небольшому контролю. Как мы видим, большинство компаний в этой отрасли не являются регулируемыми финансовыми учреждениями с обязательными стандартами безопасности. Это частные компании с разным уровнем инвестиций в техническую безопасность. Когда они собирают документы, удостоверяющие личность, для соблюдения требований по обработке платежей, они создают риск, который трейдеры редко учитывают перед их предоставлением.

Вопрос не в том, должна ли компания Topstep поступить лучше. Вопрос, который должен задать себе каждый трейдер, получающий финансирование, перед следующей подачей декларации KYC, звучит так: какие данные обо мне хранит эта фирма, где они хранятся и какие у меня есть доказательства того, что они надлежащим образом защищены?

Из проанализированных нами случаев следует, что криптотрейдеры, торгующие на собственных средствах, сталкиваются с более острой формой этого риска, чем трейдеры, торгующие на собственных средствах на рынках фьючерсов или форекс, по двум причинам.

Во-первых, криптопроп-фирмы работают на международном уровне с ограниченным регуляторным надзором. Не существует обязательного стандарта безопасности, эквивалентного PCI-DSS для платежных систем или требованиям CFTC к кибербезопасности для зарегистрированных фьючерсных компаний. Порог адекватной защиты данных фактически устанавливается каждой фирмой по собственному усмотрению.

Во-вторых, в структурах выплат в криптовалютной проп-трейдинге часто требуется подтверждение личности на этапе вывода средств, а не при регистрации. Это означает, что трейдеры иногда предоставляют документы KYC после того, как уже начали торговать и получили прибыль — момент высокой мотивации, когда проверка методов обеспечения безопасности компании — последнее, о чем они думают.

Правила проверки личности в Mubite не требуют прохождения процедуры KYC при регистрации или на этапе самой проверки. Подтверждение личности требуется только на этапе выплат, то есть конфиденциальные данные собираются у значительно меньшей группы — только у трейдеров, прошедших проверку и запросивших вывод средств, — а не у каждого зарегистрированного пользователя сразу. Этот более узкий период проверки является существенным структурным отличием от компаний, которые собирают документы до того, как трейдер совершит хотя бы одну сделку.

Если вы предоставляли документы KYC какой-либо проп-фирме, мы рекомендуем предпринять следующие шаги, независимо от того, сообщала ли эта фирма о каких-либо инцидентах в сфере безопасности:

• Если вы предоставили свой номер социального страхования какой-либо компании, занимающейся обработкой персональных данных, подключитесь к сервису мониторинга кредитной истории. Бесплатные варианты включают собственные инструменты мониторинга кредитных бюро, и многие американские компании обязаны предоставлять такую услугу после утечки данных.

• Включите многофакторную аутентификацию для каждой учетной записи, подключенной к любой торговой платформе, платежной системе или адресу электронной почты, используемому для торговой деятельности. Атаки с использованием подбора учетных данных успешны именно потому, что трейдеры повторно используют пароли на разных платформах.

• Проверьте, опубликовали ли компании, хранящие ваши данные, политику безопасности или конфиденциальности, описывающую порядок хранения, шифрования и доступа к документам, удостоверяющим личность. Если такая информация не опубликована, запросите ее напрямую, прежде чем отправлять документы.

• Отслеживайте свои счета в любой проп-фирме, которая требует прохождения процедуры KYC (идентификации клиента) в случае необычной активности, особенно в отношении запросов на выплаты и изменений настроек учетной записи.

Принципы управления рисками , защищающие торговый счет с денежными средствами, в равной степени распространяются и на персональные данные, используемые для пополнения счета. Вы не стали бы торговать без стоп-лосса. Не передавайте документы, удостоверяющие личность, не понимая, какая защита обеспечивается ими.