The Silicon Siege: How The PayPal Mafia Survived The First Cyberwar
THE SILICON SIEGE
How The PayPal Mafia Survived The First Cyberwar
Chaque paiement en ligne que vous avez effectué dans votre Toute une vie existe à cause d'une guerre qui a fait Il a été combattu en l'an 2000 dans un Un bâtiment de bureaux à Palo Alto, en Californie, contre un seul bâtiment. Un ennemi que la plupart du monde a. depuis oublié. La guerre a duré 18 mois. À son apogée, les défenseurs perdent 10 $
Un million tous les 30 jours. Les attaquants étaient, selon une estimation interne, 12 Plus de 1 000 êtres humains sont répartis sur quatre continents, organisés. Les cellules sont divisées par fuseau horaire et par langage, en coordonnant sur les canaux IRC que les défenseurs pouvaient lire En temps réel, mais ne pouvait pas être éteint. Tout le monde se souvient des gagnants. Elon Musk, Peter Thiel, Max Lebtchen, Reid Hoffman, sont également présents.
Rolof Botha. David Sachs. La Silicon Valley les appelle la mafia PayPal. Ils auraient, au cours des 20 prochaines années, trouvé Tesla, SpaceX, Palantir, LinkedIn, YouTube, Yelp et le groupe de télévision Les fonds de risque qui ont financé la plupart du reste. Ce que presque personne ne se souvient, c'est que, dans le L'année 2000, l'entreprise qu'ils dirigeaient était
18 mois après l'insolvabilité, Parce que le crime organisé mondial... ...la communauté avait trouvé un moyen d'extraire de l'argent de l'argent plus rapidement que ce qui pourrait être déposé. Il s'agit d'un documentaire sur la technologie spécifique et les hommes spécifiques qui les ont arrêtés. Pour comprendre ce qui s'est passé, il faut comprendre. ce que X.com essayait de faire.
En mars 2000, deux sociétés se sont fusionnées pour former une société. un dépêchement... ...Un accord de 40 pages signé à Palo Alto Un cabinet d'avocats. Le premier était Confinity, fondé par Peter Thiel. Max Lebtchen et Max Lebtchen, qui avaient construit un système pour envoyer de l'argent entre Palm Pilots. Le second était X.com, fondé par Elon
Musk, qui tentait de construire ce que Musk avait à offrir. décrit à l'époque, sans exagérer, comme... ... tout le Bank. La société fusionnée a pris son nom de produit... ...de la part de Confinity. Ce nom était PayPal. L'idée était simple, et à l'époque, radicaux.
Vous pourriez envoyer un paiement à n'importe qui d'autre sur Internet en utilisant uniquement leur adresse e-mail. Pas de virement bancaire, pas de livraison en espèces, pas de virement bancaire. Vérifiez. Un lien cliqué, quelques chiffres tapés, et L'argent se déplaçait entre les continents en quelques secondes. En 2000, ce fut le single le plus intéressant. Produit logiciel sur Internet.
À la fin de cette année-là, PayPal était déjà disponible. Traiter près de 200 000 transactions par jour. eBay, qui était alors le plus grand marché de consommation Dans le monde, il avait déjà été colonisé. 25% de toutes les enchères eBay cotées PayPal comme méthode de paiement préférée... ... et ce nombre a augmenté de deux chiffres. Le nombre de transactions augmentait de
Deux chiffres chaque mois. Puis, très tranquillement, l'argent a commencé à disparaître. Le mécanisme était simple. Un fraudeur, travaillant depuis un sous-sol à St. Louis. Petersburg ou un cybercafé à Lagos, achèterait Une carte de crédit américaine volée. À l'époque, vous pouviez acheter cinq de ces produits. ces sur IRC pour 30 $.
Il ouvrait un compte PayPal sous un code de référence. Nom américain volé, financer le compte par facturation la carte volée, et utiliser le solde obtenu Acheter des articles de grande valeur sur eBay... ...caméras, appareils électroniques, ordinateurs portables. Les articles seraient expédiés à une adresse de dépôt aux États-Unis. Un collaborateur les renverrait à l'étranger.
Et au moment où le vrai titulaire de la carte a remarqué l'accusation et déposé le litige... ...l'argent avait été retiré en espèces, et Le compte PayPal était vide. Les sociétés de cartes de crédit, en vertu de la loi fédérale américaine, étaient Il est nécessaire d'inverser les frais frauduleux. L'inversion était un chargeback. Le remboursement n'a pas été facturé au fraudeur,
mais au marchand. PayPal, dans chacune de ces transactions, était Le marchand. En avril 2000, PayPal a absorbé 200 000 $ dans les remboursements. En juin, 3,1 millions de dollars. En septembre, il devrait atteindre 7 millions de dollars. Au début de l'hiver 2000, la société a été créée.
Il perdit, en remboursements seulement, plus de 11$ Un million par mois. Les investisseurs qui avaient financé la fusion... ...Sekoya, Madrone, Nokia Ventures... Ils sont aussi des entreprises qui ont des projets. ... étaient en privé, en utilisant le mot insolvables. Musk, qui était le président, convoquait le conseil d'administration. Dans lequel la phrase... réunions ... ... ... ...
" Nous avons cinq mois de piste " a été écrit littéralement. dans les minutes. Thiel, qui était le PDG, dormait à l'intérieur. Je travaille au bureau quatre nuits par semaine. L'ennemi n'était pas une seule personne. Il était un écosystème. À l'automne 2000,... ... les forums de fraude sur Internet russe avaient une totalité de
Il y a des sous-sections consacrées à l'exploitation de PayPal. Les tutoriels, écrits d'abord en russe, puis traduits en français. Le roumain, le polonais et l'anglais... ...expliqué, étape par étape, à quelle adresse de facturation américaine, Les codes postaux, le système n'a pas vérifié... ...quels fournisseurs de messagerie il a fait confiance par défaut, et À quel moment de la journée l'équipe d'examen a-t-elle travaillé? était sous-staffé.
Un ingénieur senior de PayPal, en lisant ces forums en En temps réel... ...a ensuite décrit l'expérience comme... ... ... ... ... "Lire le manuel de jeu pour votre propre enterrement". Les défenseurs ne pouvaient pas fermer les forums. Ils n'avaient aucune juridiction sur la Russie ou le Nigeria. Ils n'avaient pas de relations avec les forces de l'ordre capables de
Il fonctionnait à la vitesse à laquelle Internet fonctionnait. à. Le FBI, à l'époque... ... n'avait pas encore de centre de données. Ils avaient une unité dédiée au cybercrime avec la CIA. Pour faire appel à une autorité pour un serveur IRC. Et ainsi, dans les dernières semaines de 2000... ...Musk et Thiel et Levchin ont compris, sans avoir eu à
Pour le dire à haute voix... ... la structure exacte du problème qu'ils étaient Entraînez-vous. Aucun gouvernement ne les sauverait. Aucun consortium industriel ne les sauverait. Aucun régulateur ne les sauverait. Aucun gouvernement ne les sauverait. Ils allaient devoir construire le
l'arme elle-même. Le code. Dans le bâtiment. Dans les 60 jours qui suivent. Le directeur de la technologie de PayPal en 2011 L'année 2000... ...était un cryptographe ukrainien de 25 ans. Il s'appelait Max Levchin.
Levchin avait quitté l'Union soviétique avec son frère. famille à 16 ans... ...étudiant à l'Université de l'Illinois... ...et a écrit sa thèse de maîtrise sur la clé publique La cryptographie... ... avant de quitter le marché pour créer sa première startup. Au moment où il atteignit Palo Alto, il était déjà à l'aise. avait construit et vendu deux petites entreprises...
...des deux qui avaient échoué commercialement... ...et avait développé, en privé, une conviction qui disait: En fin de compte, économisez PayPal. C'était la conviction suivante. Les humains et les machines, qui ont la même tâche, font le même travail. ne le réaliser pas de la même manière. Un humain qui clique sur une souris ne clique pas. dans une ligne parfaitement droite.
Un humain qui tape un mot de passe ne tape pas. tous les caractères à l'intervalle. Un humain remplissant un formulaire ne fait pas l'effort de remplir un formulaire. Remplissez-le dans l'ordre des champs du formulaire apparaît dans le HTML sous-jacent de la page. Les machines le font. Les fraudeurs, en octobre 2000, ne faisaient pas de frappe. Ils écrivaient des scénarios.
Les mêmes forums russes qui ont distribué des échanges étape par étape -les guides d'exploitation de PayPal en étapes... ...a également distribué des scripts Perl prédécrits qui ont automatisé Le compte entier... ...ouverture et cycle d'exécution de la transaction. Un opérateur humain, à partir d'un seul ordinateur portable... ... pourrait exécuter plusieurs centaines de comptes simultanés. L'économie des attaquants n'était pas un essaim de
Des pirates informatiques individuels. C'était un essaim de robots, exploités par un nombre beaucoup plus faible d'humains. Cela signifiait qu'il y avait un signal. Si Levchin pouvait détecter le signal... ... s'il pouvait distinguer, en temps réel... ...entre un humain qui s'est inscrit à un PayPal Le compte...
...et un script pour s'inscrire à un PayPal Le compte... ...il pourrait refuser les transactions du script... ... sans refuser les humains. La fraude mourrait au niveau de la base de données. Les clients légitimes ne le remarqueront jamais. Levchin et une petite équipe d'ingénieurs... ...travaillant dans une salle de conférence par des murs en verre...
...que le reste de l'entreprise avait pris Pour appeler le Bunker... ... a commencé à cataloguer chaque différence observable... ...entre le comportement humain et le comportement scripté sur PayPal site. Un humain ayant cliqué sur le bouton Continuer a pris, sur La moyenne... ...entre 800 et 1200 millisecondes...
...après que la page a fini de se charger. Un script cliqué en dessous de 60. Cursor d'un humain se déplaçant entre les champs de forme tracés un arc. Un script a téléporté le curseur du champ à. Dans un champ en ligne droite. Les intervalles de touches de clé d'un humain... ...en tapant un mot de passe...
... a suivi une distribution de la loi de la puissance approximative. Les intervalles d'un script étaient uniformes. L'adresse IP d'un humain géolocalisée à un logement résidentiel Le bloc. L'adresse IP d'un script a été géolocalisée sept fois en. dix... ...à un fournisseur d'hébergement. Une adresse de centre de données qu'aucun consommateur ordinaire ne voudrait
de qui ils sont venus. Chacune de ces observations, isolée... ...était un signal faible. N'importe lequel d'entre eux pourrait être vaincu par Un attaquant assez intelligent. Mais combinés, combinés statistiquement... ...à travers ce que l'équipe de Levchin a commencé à appeler le Signal Le score...
...ils ont produit un seul nombre entre 0 et. 1 qui... ...pour tout échantillon suffisamment grand... ... distingué humain de bot avec plus de 90 Accuracité en pourcentage. L'équipe a donné au classifiateur un nom de code. Ils l'ont nommé d'après un fraudeur russe spécifique. qui avait...
...deux mois plus tôt publié dans une chaîne IRC... ...que les ingénieurs de PayPal étaient trop américains et trop Lentement pour le prendre. Le manipulateur du fraudeur était Igor. Le classifiateur était Igor. Igor est entré en direct sur Internet... ... sur le backend PayPal en novembre 2000... ... les transactions qui ont dépassé un seuil de score pour
Révision manuelle. Dans les 72 heures, le taux de recharge dans le Le segment marqué a chuté de 61%. En une semaine, une première génération de retours adversitaires Le cycle... ...était visible dans les journaux. Les attaquants ajustaient leurs scripts pour produire des images. Il y a plus de motifs de clics humains.
Levchin a ajouté de nouvelles fonctionnalités. Les ajustements ont ralenti les attaquants. Le taux de charge-back est resté supprimé. Igor seul, cependant, n'était pas suffisant. Les scripts étaient une catégorie d'ennemis. L'autre catégorie, plus difficile à détecter par le comportement Seul, il est possible d'analyser... ...était le bot de création de compte.
Un bot qui a enregistré 5 000 comptes PayPal Dans une heure... ...chacun avec des noms plausiblement aléatoires et un courriel de travail Les adresses... ... pourrait produire un inventaire de comptes de mule... ... plus vite qu'Igor ne pourrait les flagrer par la suite. Ce dont il fallait, c'était une porte... ...un seul test placé à l'avant de
le flux de création de compte... ... qu'aucun bot ne pouvait passer et que chaque bot pouvait passer. Un humain pourrait. En décembre 2000, Levchin et un collègue ont été mis à l'épreuve. David Gozbeck l'a conçu et l'a nommé. Ils ont pris une grille de caractères arbitraires... ... cinq chiffres alphanumériques... ... a rendu la grille comme une image déformée...
...et exigeait de l'utilisateur qu'il transcrive les chiffres avant que la création de compte puisse continuer. Les humains, en regardant l'image, pouvaient lire le texte. caractères en moins de deux secondes. Logiciel de reconnaissance de caractères optiques en l'an 2000 Je ne pouvais pas les lire du tout. Le test s'appelait le test Gozbeck-Levchin. C'était, au sens strict de l'enseignement académique, le.
Première mise en œuvre commerciale d'une catégorie de technologies... ...qu'une équipe de Carnegie Mellon ferait, deux Des années plus tard, généraliser et renommer. Le nom Carnegie Mellon est le nom qui Il est coincé. Aujourd'hui, des milliards d'êtres humains le passent chaque fois. jour sans connaître son origine. Le nom est C.A.
Le père. La société a été fondée en 1935. Entre Igor et CAPTCHA... ...entre la classification comportementale et le test Gozbeck-Levchin... ...le taux de charge-back de PayPal, qui avait atteint son apogée À la fin de l'automne 2000... ... à près de 5% du volume brut des transactions... ...est tombé, au cours des six premiers mois de 2001,
De moins d'un tiers à 1%. La société était solvable au printemps. Il était rentable à l'automne. Il est devenu public au NASDAQ à 15 $ 0,75 par action le 15 février 2002. Huit mois plus tard, eBay l'a acheté pour 1 $. 5 milliards.
Tous ceux qui avaient travaillé dans ce bunker avaient été Winter a quitté un multimillionnaire. Tous ceux qui avaient travaillé dans ce bunker avaient été L'hiver a continué à construire la décennie suivante de la Silicon Valley. Et à chaque fois, au cours des 24 années qui ont suivi, que vous avez cliqué sur une image déformée pour Prouver que vous étiez un humain...
...vous avez fait un geste demandé en premier. de vous par un Ukrainien de 25 ans cryptographe... ...essayer de sauver une entreprise d'un pirate informatique Il s'appelait Igor. Pendant sept mois, la société a été dans le secteur de la vente. Dans le feu de la lumière. Pendant six mois, à partir de l'automne 2000
du printemps 2001 au printemps 2001... LevMaxchin et David Gaussbeck ont fait la même chose. L'expérience, sous différentes formes... ... dans le sous-sol de l'ingénierie de PayPal. L'expérience était simple en concept. Construisez un test que les humains réussissent et que les robots réussissent. Fail. Fail. Faites-le assez vite pour que les humains ne le fassent pas.
Je déteste ça. Faites-le assez bon marché pour qu'il puisse être Servé sur chaque compte... ...création de requêtes sans ajouter un centime de serveur Le coût par utilisateur. Faites-le assez adversaire pour qu'un attaquant motivé, Un an et une équipe étant donné, ne peut pas être fiable la vaincre.
Le premier prototype construit par Levchin avait un prototype interne. Nom de code. L'équipe l'a appelé GIGOT, un acronyme, assemblé À 3 heures du matin... ...qui représentait le Gated Image Gauntlet pour l'origine Les tests. Les ingénieurs qui le tapaient tous les jours prétendent être des ingénieurs. qu'il représentait quelque chose de plus respectable.
Le commentaire au sommet du Python Le fichier qui l'a mis en œuvre a simplement lu... ...si le bot peut lire ceci, nous réécrivons le fichier. GIGOT était une seule image PNG rendue sur le serveur au moment de la création du compte. Il contenait cinq caractères, dessinés en serif Le type de la police...
...squadré et tourné le long d'axes indépendants... ... surmonté d'un champ de courts traits diagonales... ...et comprimé avec juste assez d'artifactation de JPEG pour La détection des contours... break ...que les bibliothèques de reconnaissance de caractères optiques de la L'ère dépendait de. Un humain, en le regardant, a vu cinq lettres. Un ordinateur, en le regardant, a vu un bruit.
champ. GIGOT est entré en ligne sur le flux d'inscription de PayPal la première semaine de janvier 2001. D'ici la fin de cette semaine, le taux de change sera atteint. où de nouveaux comptes étaient créés... ...qui avait grandi, au cours du dernier trimestre de 2000... ...à un flux constant de plusieurs milliers de nouveaux
Les inscriptions sont faites en une heure... ... la grande majorité d'entre eux ont été détruits par des robots. 94% des personnes interrogées. Les 4 000 inscriptions horaires étaient un total. de... ...3.000 signatures au cours de la nuit, devenant moins de 240. Les 240 qui restèrent furent, chacun d'entre eux, Ils sont...
... des êtres humains réels qui avaient utilisé le service Avant que... avant que... ...ou ont été référés par quelqu'un qui l'avait fait. Les assaillants ont immédiatement remarqué. Dans les canaux IRC, la sécurité PayPal est mise à jour. L'équipe était toujours silencieusement surveillée... La réponse n'était pas la panique, mais quelque chose de plus étrange... ...une sorte de perfection résignée.
Un respect professionnel. Un bon auteur de tutoriels de fraude russe a publié un article. une seule ligne en anglais... ...que l'équipe a capturé à l'écran et enregistré à l'aide d'une bande. Le mur du bunker. Il lit, résoudre pour l'image, résoudre pour la fin du jeu. Ce que Levchin et Gaussbeck avaient découvert...
...et quelle équipe d'informaticiens a été créée. La Carnegie Mellon University est une université qui... ... serait formalisée deux ans plus tard... ... dans un papier publié et une marque déposée... ...était l'inverse du test de Turing. Alan Turing en 1950 avait proposé une pensée L'expérience... ...dans lequel un juge humain tenterait de
distinguer... ...un ordinateur d'un humain par la conversation seule. La question posée par Turing était philosophique. Une machine pourrait-elle penser ? La question à laquelle Levchin et Gaussbeck avaient répondu était: Il est pratique. Pouvais-je créer un site Web en temps réel, sans aucune connexion ? humain dans le cycle...
... distinguer un utilisateur qui était un ordinateur de Un utilisateur qui était un humain? La réponse en 2001 était oui. L'outil était une image. L'équipe de Carnegie Mellon en 2003... ...appelée leur généralisation du concept... ...le test public Turing entièrement automatisé... ...pour distinguer les ordinateurs et les humains.
Ils l'ont abrégé C.A. Il est beau. Le nom est resté. L'histoire ne l'a pas fait. Entre Gigot et Igor... ...entre le test d'image et le classifiateur comportemental... ...PayPal avait, vers le milieu de 2001... ...construit ce qui équivaut au premier...
... une pile d'apprentissage automatique opérationnel, commercial et anti-fraude. Aucune autre société de consommation d'Internet à l'époque... ...avait quelque chose de similaire. Les banques ne l'avaient pas. Visa ne l'avait pas. Mastercard ne l'avait pas. Google, qui en 2001 était encore une entreprise privée La société...
...avec des revenus inférieurs à un quart de milliard Des dollars... ... n'a pas encore été détecté de fraude à ce stade niveau de sophistication. Lorsque eBay a approché PayPal à l'été de 2002... ...ils n'étaient pas, en fait, les mêmes. Ils n'acquièrent pas, strictement, de paiements.
société. Ils possédaient déjà une société de paiement. Ils l'avaient construit eux-mêmes. Ce qu'ils acquièrent était, dans Meg Whitman's Ses propres mots... ...de la part d'un mémo interne qui est devenu depuis Le public... ... le système d'exploitation Fraud Loss.
Le 3 juillet 2002, le... ...Ebay a annoncé une acquisition à part entière de PayPal... ...à une valorisation de 1,5 milliard de dollars. L'évaluation avait été calculée... ... dans le processus de diligence raisonnable... ... principalement en extrapolant le nombre de chargebacks... ...auraient été engagées sur la plateforme d'eBay... ...au cours des cinq années suivantes...
...absent de la pile de T Igor et Jigo. Le nombre, réduit à la valeur actuelle... ... était d'environ 1,4 milliard de dollars. Les 100 millions de dollars restants étaient, selon les banquiers... ... payé pour l'équipe. Je veux que vous vous retiriez de la Le récit pour un moment... ... et considérez ce que vous venez de regarder.
Deux hommes, dont l'un avait 25 ans. et les 32 autres... ...et une équipe de moins d'une douzaine Les ingénieurs... ...construit dans une salle de conférence en verre en Palo Alto est le plus grand... ... à travers un automne et un hiver... ...un système qui, mesuré en dollars de remboursement...
... n'a pas été engagée, valait 1,5 milliard de dollars. La seule chose qui valait la peine... ...l'argent était l'argent. Ils ne l'ont pas construite en déplaçant de l'argent. Ils l'ont construit en écrivant du code qui regardait Le code... autre code ...et décida, en temps réel... ... si cet autre code était un être humain.
Voici le modèle. La vraie richesse de l'ère numérique... ...de l'année 2000 au moment où vous avez été sont actuellement en train de regarder ceci... ... n'a jamais été créé par les entreprises... ...que la valeur de transfert. Il a été créé, presque sans exception... ... par les entreprises qui défendent la valeur.
La valeur des transferts de visa. La valeur des transferts de MasterCard est élevée. La valeur des transferts de Western Union est élevée. Aucune de ces entreprises n'a été enregistrée au dernier trimestre. Le siècle... ...a produit un seul milliardaire de la Silicon Valley. Les entreprises qui défendent la valeur... ...PayPal et Stripe...
...et Audion... ...et le carré... ...et Plaid... ...et les douzaines d'autres construites par les hommes et les femmes... ...qui est sorti du bunker tôt dans la journée 2002... ...avec leurs actions détenues...
...et leurs algorithmes ont été compris... ... ont produit des dizaines. Et les algorithmes eux-mêmes... ... n'a pas été engagé dans le traitement des paiements. Le classifiateur Igor... ...généralisé et réécrit mille fois... ...est ce qui examine vos transactions par carte de crédit... ... dans le moment entre le tap et la confirmation.
C'est ce qui décide si votre demande d'assurance... ...est marqué pour enquête sur la fraude. C'est ce que Tesla utilise... ...pour distinguer un piéton humain... ...de la coupe d'un enfant à dessiner... ...en une fraction de seconde... ...avant que le véhicule n'applique ses freins. C'est ce que SpaceX utilise...
... dans la couche de fusion de télémétrie de sa fusée Les pilotes automatiques... ...pour distinguer le bruit réel des capteurs... ...de l'instrumentation des anomalies... ...qui annulerait le lancement. L'homme qui a conçu le classifiateur de comportement original... ...le directeur de la technologie de PayPal en 2001... ...est aujourd'hui le fondateur et chef de la direction...
... d'une société publique de fintech appelée Affirm... ... dont les décisions de crédit pour 70 millions de clients... ... sont faites par le descendant direct linéaire de le système... ...il a d'abord nommé le nom d'un fraudeur russe... ...nommé Igor. Le modèle n'est pas les paiements. Le modèle est la défense.
Le modèle est un code qui surveille... ...classifie et décide. Et chaque entreprise de consommation Internet importante... ...construit depuis 2002 sans exception... ...a comme actif opérationnel principal... ...une variante de la technologie que Max Levchin a construite... ... dans les 60 jours entre octobre et décembre de l'année 2000...
...pour arrêter un homme du nom d'Igor... ...de la drainage du compte bancaire de sa société. Vous connaissez déjà le reste de l'histoire. Ce que vous ne saviez pas, c'est que le Le reste de l'histoire... ...commence dans une pièce... ...avec un homme, avec une ligne de Python... ...et avec une carte de crédit volée en cours de test...
...contre une image déformée de cinq caractères... ... sur une page d'inscription PayPal... ...une nuit de janvier 2001. C'était le début du 21e siècle. Vous avez vécu les conséquences... ...de cette nuit depuis.
