Фірма, що займається пропозиціями, витікла номери соціального страхування своїх трейдерів — що означає витік даних Topstep

Коли трейдери думають про ризик у проп-трейдингу, вони думають про кредитне плече, просідання та ліквідацію. Більшість не враховує ризик, що міститься у формі KYC, яку вони заповнили, щоб отримати оплату. Дві окремі кібератаки на Topstep наприкінці 2025 року розкрили імена трейдерів, номери соціального страхування та дані, що посвідчують особу уряду.

Зараз подаються колективні позови. І ця історія порушує питання, яке зараз має задати собі кожен фінансований трейдер з обліковим записом, перевіреним за допомогою KYC .

Були два окремі інциденти, і розуміння обох мало значення.

Першою була DDoS-атака 8 вересня 2025 року. Після ретельної внутрішньої перевірки, Topstep виявила 3 грудня 2025 року, що між 8 вересня та 16 жовтня певні файли, що містять персональну інформацію, могли бути предметом несанкціонованого доступу. Постраждалі трейдери отримали листи на початку січня 2026 року, які підтверджували, що їхні імена та номери соціального страхування могли бути скомпрометовані.

Другою була атака з підтасовуванням облікових даних 14 грудня 2025 року, виявлена наступного дня. У своїй першій публічній реакції Topstep намагалася приписати цей інцидент повторному використанню трейдерами паролів з інших зламаних сайтів — характеристика, яка викликала значну критику з боку торговельної спільноти та сприяла судовому позовові, що зараз триває.

Компанія Topstep відповіла блокуванням підозрілого IP-трафіку, примусовим скиданням паролів, обов’язковим використанням багатофакторної автентифікації, яка раніше була необов’язковою, та пропонуючи постраждалим користувачам безкоштовні послуги захисту від крадіжки особистих даних. Зараз активно подаються колективні позови.

Ми хочемо прямо говорити про те, чого більшість висвітлень цього інциденту уникала.

Topstep не є однозначно недбалою. Це фірма, яку спіймали. Ширша проблема є структурною: кожна фірма, що займається нерухомістю, яка вимагає перевірки KYC, зберігає набір даних, що включає, як мінімум, документи, що посвідчують особу уряду, а в багатьох випадках номери соціального страхування або ідентифікаційні податкові номери. Ці дані зберігаються на серверах. Ці сервери є цілями.

Індустрія торгівлі нерухомістю швидко розвивалася за відносно малого контролю над її інфраструктурою безпеки даних. З того, що ми спостерігали в галузі, більшість фірм не є регульованими фінансовими установами з обов'язковими стандартами безпеки. Це приватні компанії з різним рівнем інвестицій у свою технічну безпеку. Коли вони збирають документи, що посвідчують особу, для виконання вимог обробки платежів, вони створюють відповідальність, яку їхні трейдери рідко замислюються оцінити перед поданням.

Питання не в тому, чи мав би Topstep діяти краще. Питання, яке кожен фінансований трейдер повинен поставити собі перед наступним поданням KYC: які дані про мене зберігає ця фірма, де вони зберігаються і які в мене є докази того, що вони належним чином захищені?

З проаналізованих нами випадків, трейдери криптовалютних активів стикаються з гострішою версією цього ризику, ніж трейдери ф'ючерсних або форекс-активів, з двох причин.

По-перше, криптовалютні компанії працюють на міжнародному рівні з обмеженим регуляторним наглядом. Не існує обов'язкового стандарту безпеки, еквівалентного PCI-DSS, для платіжних систем або очікувань CFTC щодо кібербезпеки для зареєстрованих ф'ючерсних фірм. Планка того, що вважається адекватним захистом даних, фактично встановлюється кожною фірмою на власний розсуд.

По-друге, структури виплат у торгівлі криптовалютою часто вимагають перевірки особи на етапі виведення коштів, а не під час реєстрації. Це означає, що трейдери іноді подають документи KYC після того, як вони вже торгували та мають прибуток для отримання — момент високої мотивації, коли ретельне вивчення практик безпеки фірми є останнім, про що вони думають.

Правила челенджу на Mubite не вимагають KYC під час реєстрації або під час самого етапу челенджу. Перевірка особи потрібна лише на етапі виплати, тобто конфіденційні дані особи збираються у значно меншої групи — лише трейдерів, які пройшли челендж і запросили виведення коштів, — а не у кожного зареєстрованого учасника одразу. Це вужче вікно експозиції є суттєвою структурною відмінністю від фірм, які збирають документи до того, як трейдер здійснить жодну угоду.

Якщо ви подали документи KYC до будь-якої фірми, що займається нерухомістю, ми рекомендуємо виконати ці кроки незалежно від того, чи розкрила ця фірма будь-які інциденти безпеки:

• Зареєструйтесь у службі моніторингу кредитної історії, якщо ви подали свій SSN до будь-якої кредитної фірми. Безкоштовні опції включають власні інструменти моніторингу бюро кредитних історій, і багато фірм, що базуються в США, зобов'язані за законом пропонувати їх після порушення.

• Увімкніть багатофакторну автентифікацію на кожному обліковому записі, підключеному до будь-якої торгової платформи, платіжного процесора або адреси електронної пошти, що використовуються для торгової діяльності. Атаки із заповненням облікових даних успішні саме тому, що трейдери повторно використовують паролі на різних платформах.

• Перевірте, чи опублікували фірми, які зберігають ваші дані, політику безпеки або конфіденційності, яка описує, як зберігаються, шифруються та отримуються документи, що посвідчують особу. Якщо ця інформація не опублікована, запитайте безпосередньо, перш ніж надсилати документи.

• Слідкуйте за своїми обліковими записами в будь-якій провізній фірмі, яка вимагала KYC (знай свого клієнта) для незвичайної активності, особливо щодо запитів на виплати та змін налаштувань облікового запису.

Принципи управління ризиками , що захищають фінансований торговий рахунок, однаково застосовуються до персональних даних, які фінансують рахунок. Ви не торгуєте без стоп-лосу. Не передавайте документи, що посвідчують особу, не розуміючи, який захист за ними стоїть.