The Silicon Siege: How The PayPal Mafia Survived The First Cyberwar
THE SILICON SIEGE
How The PayPal Mafia Survived The First Cyberwar
Ogni pagamento online che hai effettuato nel tuo account. L'intera vita esiste a causa di una guerra che ha portato alla morte di tutti. Fu combattuta nell'anno 2000 in una Un singolo edificio di ufficio a Palo Alto, in California, contro Un nemico che la maggior parte del mondo ha. da quando è stato dimenticato. La guerra durò 18 mesi. Al suo apice, i difensori stavano perdendo 10 dollari.
Milioni ogni 30 giorni. Gli attaccanti erano, secondo una stima interna, 12. Circa 1.000 esseri umani, distribuiti in quattro continenti, sono organizzati. Le cellule sono divise per fusi orari e linguaggio, coordinando attraverso i canali IRC che i difensori potevano leggere in tempo reale ma non è stato possibile spegnere. Tutti ricordano le persone che hanno vinto. Elon Musk, Peter Thiel, Max Lebtchen, Reid Hoffman,
Rolof Botha. David Sachs. La Silicon Valley li chiama la mafia PayPal. Nel corso dei prossimi vent'anni, avrebbero trovato Tesla, SpaceX, Palantir, LinkedIn, YouTube, Yelp e il I fondi di rischio che hanno finanziato la maggior parte del resto. Quello che quasi nessuno ricorda è che, nel L'anno 2000, l'azienda che gestiscono era
18 mesi dalla data di insolvenza, Perché il Crimino Organizzato Globale... ...la comunità aveva trovato un modo per estrarre denaro da esso più velocemente di quanto possa essere depositato. Questo è un documentario sulla tecnologia specifica e gli uomini specifici che li hanno fermati. Per capire cosa è successo, devi capire cosa X.com stava cercando di fare.
Nel marzo del 2000, due società si sono fuse in una società. Un'urgenza... ...un accordo di 40 pagine firmato a Palo Alto Un'impresa legale. Il primo fu Confinity, fondato da Peter Thiel. Max Lebtchen e Max Lebtchen, che avevano costruito un sistema per aver inviato denaro tra Palm Pilots. Il secondo era X.com, fondato da Elon
Musk, che stava cercando di costruire ciò che Musk aveva. descritto all'epoca, senza esagerazioni, come... ...Everything the Bank. La società fusione ha preso il nome del suo prodotto... ...da parte di Confinity. Questo nome era PayPal. L'idea era semplice, e all'epoca, Radicalmente.
Potresti inviare un pagamento a chiunque altro su Internet utilizzando solo il loro indirizzo email. Nessun bonifico bancario, nessun contante sulla consegna, nessun Il controllo. Un link è stato cliccato, alcune cifre sono state digitate e Il denaro si muoveva tra i continenti in pochi secondi. Nel 2000, questo è stato il singolo più interessante. Prodotto software su Internet.
Alla fine di quell'anno, PayPal era già in fase di sviluppo. Processano quasi 200.000 transazioni al giorno. eBay, che allora era il più grande mercato dei consumatori Nel mondo, era già stato colonizzato. Il 25% di tutte le aste eBay quotate da PayPal come metodo di pagamento preferito... ...e quel numero è salito di due cifre. Il numero di transazioni era in aumento di
Due cifre al mese. Poi, molto silenziosamente, i soldi cominciarono a scomparire. Il meccanismo era semplice. Un truffatore, che lavora da un seminterrato a St. Petersburg. O un cybercafe a Petersburg o a Lagos, avrebbe acquisito una carta di credito americana rubata. A quel tempo, si poteva acquistare cinque di. Questi sono su IRC per $30.
Aprirebbe un conto PayPal con un'account di pagamento. nome americano rubato, finanziare l'account con la fatturazione La carta rubata, e utilizzare il risultante saldo Per acquistare articoli di alto valore su eBay... ...camere, elettronica, laptop. Gli articoli sarebbero stati spediti a un indirizzo di scarico negli Stati Uniti. Un collaboratore li avrebbe inviati all'estero.
E quando il vero titolare della carta si è accorto di questo, L'accusa e il controversia è stato presentato... ...i soldi erano stati prelevati in contanti, e L'account PayPal era vuoto. Le società di carte di credito, in base alla legge federale americana, erano Sono necessari per invertire le spese fraudolente. L'inversione è stata un ricarica. Il rimborso non è stato fatturato al truffatore,
ma al commerciante. PayPal, in ciascuna di queste transazioni, è stato utilizzato. Il mercante. Nell'aprile del 2000, PayPal ha assorbito $200,000. in ricarica. A giugno, $3,1 milioni. Entro settembre, 7 milioni di dollari. All'inizio dell'inverno del 2000, l'azienda si è
Perdeva, solo in ricarica, più di $11. Un milione al mese. Gli investitori di rischio che avevano finanziato la fusione... ...Sekoya, Madrone, Nokia Ventures... ...erano in privato, usando la parola insolvente. Musk, che era il presidente, convocava il consiglio di amministrazione. In cui la frase... riunioni ... ...
'We have five months of runway' appeared literalmente nei minuti. Thiel, che era il CEO, dormiva dentro. La stanza di lavoro quattro notti alla settimana. Il nemico non era una sola persona. Era un ecosistema. Nell'autunno del 2000... ...i forum di frode su Internet russo avevano un intero
Le subsezioni dedicate all'exploitation di PayPal. Tutoriali, scritti prima in russo, poi tradotti in russo. Romeno, polacco e inglese... ... spiegato, passo dopo passo, quale indirizzo di fatturazione americano, codici zip, il sistema non ha verificato... ...che fornitori di posta elettronica si fidano di default, e A che orario del giorno il team di revisione era sotto-personale.
Un ingegnere senior di PayPal, leggendo questi forum in In tempo reale... ...in seguito descrive l'esperienza come... ... ... 'Leggi il libro di gioco per il tuo funerale.' I difensori non potevano chiudere i forum. Non avevano giurisdizione sulla Russia o sulla Nigeria. Non avevano rapporti con le forze dell'ordine capaci di
La velocità di funzionamento di Internet era la velocità di funzionamento di Internet. a. L'FBI, all'epoca... ...non aveva ancora un data center. Avevano una unità dedicata al cybercrimine con il Un'autorità di incarico per un server IRC. E così, nelle ultime settimane del 2000... ...Musk e Thiel e Levchin hanno capito, senza averne avuto bisogno.
Per dirlo ad alta voce... ...la struttura esatta del problema che erano in. Nessun governo li avrebbe salvati. Nessun consorzio industriale li avrebbe salvati. Nessun regolatore li avrebbe salvati. Nessun governo li avrebbe salvati. Avrebbero dovuto costruire il
Le armi stesse. L'INCODE. Nell'edificio. Nei prossimi 60 giorni. Il capo della tecnologia di PayPal nel periodo L'anno 2000... ...era un criptografo di origine ucraina di 25 anni Max Levchin. chiamato Max Levchin.
Levchin aveva lasciato l'Unione Sovietica con il suo alla famiglia a 16 anni... ...scrivi all'Università dell'Illinois... ...e scrisse la sua tesi di master su chiave pubblica La crittografia... ... prima di abbandonare la scuola per fondare la sua prima startup. Quando arrivò a Palo Alto, era già in vita. Aveva costruito e venduto due piccole aziende...
... entrambe le quali avevano fallito commercialmente... ...e aveva sviluppato, in privato, una convinzione che avrebbe, Alla fine, salvi PayPal. La convinzione era questa. Uomini e macchine, avendo lo stesso compito, fanno la stessa cosa. non lo eseguono allo stesso modo. Un essere umano cliccando su un topo non clicca in una linea perfettamente dritta.
Un essere umano che digitano una password non scrive. Ogni carattere nello stesso intervallo. Un essere umano che riempie un modulo non è in grado di compilare il proprio compito. Riempirlo nell'ordine dei campi del modulo Appaiono nell'HTML sottostante della pagina. Le macchine lo fanno. Gli irrogatori, nell'ottobre del 2000, non stavano digitando. Stavano scrivendo una sceneggiatura.
Gli stessi forum russi che distribuivano passo dopo passo - le guide di sfruttamento PayPal... ...ha anche distribuito scrittori Perl pre-scritti che automatizzano L'intero conto... ...il ciclo di apertura e esecuzione delle transazioni. Un operatore umano, da un solo portatile... ...potrebbe eseguire diverse centinaia di account contemporaneamente. L'economia degli attaccanti non era uno sciame di
Hacker individuali. Era un sciame di bot, gestito da un numero molto più piccolo di esseri umani. E questo significava che c'era un segnale. Se Levchin potesse rilevare il segnale... ...se potesse distinguere, in tempo reale... ...tra un essere umano che si iscrive a un PayPal Conto...
...e uno script per iscriversi a un PayPal Conto... ...potrebbe rifiutare le transazioni dello script... ...senza rifiutare gli umani. La frode morirebbe a livello di database. I clienti legittimi non si accorgerebbero mai. Levchin e una piccola squadra di ingegneri... ...lavoro da una sala conferenze a pareti di vetro...
...che il resto dell'azienda aveva preso Chiamare il Bunker... ...ha iniziato a catalogare ogni differenza osservabile... ...tra il comportamento umano e quello scriptato su PayPal sito. Un essere umano facendo clic sul pulsante Continuare ha preso, su La media... media ...tra 800 e 1200 millisecondi...
...dopo che la pagina ha finito di caricare. Una sceneggiatura cliccata sotto i 60. Il cursore di un essere umano che si muove tra i campi di forma tracciati un arco. Una sceneggiatura teletrasportava il cursore dal campo a. in un campo in linea retta. Gli intervalli di stretta chiave di un essere umano... ...se si scrive una password...
... ha seguito una distribuzione di legge di potere in modo diretto. Gli intervalli di una sceneggiatura erano uniformi. L'indirizzo IP di un essere umano è stato geolocato in una residenza. Blocco. L'indirizzo IP di uno script è stato geolocato sette volte in. Dieci... ...ad un provider di hosting. Un indirizzo di data center che nessun consumatore ordinario avrebbe
da dove mai venisse. Ognuna di queste osservazioni, isolato... ...è stato un segnale debole. Chiunque di loro potrebbe essere sconfitto da Un attaccante abbastanza intelligente. Ma combinati, combinati statisticamente... ...per mezzo di ciò che il team di Levchin ha iniziato a chiamare il Segnale Punteggio...
...hanno prodotto un singolo numero tra 0 e. 1 che... ...per qualsiasi campione sufficientemente grande... ...distinguito umano da bot con più di 90 Accuratezza del %. Il team ha dato al classificatore un nome in codice. L'hanno chiamato così per un certo truffatore russo. Chi aveva...
Due mesi prima, pubblicato su un canale IRC... ...che gli ingegneri di PayPal erano troppo americani e troppo Lento per catturarlo. Il manico del truffatore era Igor. Il classificatore era Igor. Igor è andato in diretta su Internet... ...sul backend di PayPal nel novembre del 2000... ...flaggando le transazioni che hanno superato la soglia di punteggio per
recensione manuale. Entro 72 ore, il tasso di ricarica in Il segmento segnalato è diminuito del 61%. Entro una settimana, un feedback di prima generazione di avversari Lo stesso vale per il loop... ...era visibile nei registri. Gli attaccanti stavano modificando i loro script per produrre Più modelli di clic che sembrano umani.
Levchin ha aggiunto nuove funzionalità. Gli aggiustamenti hanno rallentato l'attacco. Il tasso di ricarica è rimasto soppresso. Igor da solo, tuttavia, non era sufficiente. Gli script erano una categoria di nemici. L'altra categoria, più difficile da rilevare attraverso il comportamento. Solo un'analisi... ...era il bot di creazione di account.
Un bot che ha registrato 5.000 account PayPal In un'ora... ... ognuno con nomi plausibilmente casuali e email di lavoro indirizzi... ...potrebbe produrre un inventario di conti di mule... ...più velocemente di quanto Igor potesse segnalarli dopo. Ciò di cui era necessario era un cancello... ...un singolo test posto davanti alla testa di
il flusso di creazione di account... ...che nessun bot potesse passare e che ogni persona potesse Potrebbe essere umano. Nel dicembre del 2000, Levchin e un collega David Gozbeck lo ha progettato. Hanno preso una griglia di caratteri arbitrari... ...cinque cifre alfanumeriche... ...ha reso la griglia come un'immagine distorta...
...e richiedeva all'utente di trascrivere i numeri prima che la creazione di un account potesse continuare. Gli esseri umani, guardando l'immagine, potevano leggere il testo. caratteri in meno di due secondi. Software di riconoscimento ottico dei caratteri nell'anno 2000 Non riuscivo a leggerle affatto. Il test si chiamava il test Gozbeck-Levchin. Era, nel senso accademico stretto, il.
Il primo commercio commerciale di una categoria di tecnologia... ...che un team di Carnegie Mellon avrebbe, due Anni dopo, generalizza e rinomina. Il nome Carnegie Mellon è il nome che Sono bloccati. Oggi, miliardi di esseri umani lo passano ogni giorno. giorno senza conoscere la sua origine. Il nome è C.A.
Papin. La società è stata fondata nel 1935. Tra Igor e CAPTCHA... ...tra la classificazione comportamentale e il test Gozbeck-Levchin... ...il tasso di ricarica di PayPal, che aveva raggiunto il picco Alla fine dell'autunno del 2000... ...a quasi il 5% del volume delle transazioni lordo... ...è caduto, nei primi sei mesi del 2001,
Da un terzo all'altro dell'1%. La società era solvente entro la primavera. Era redditizio entro l'autunno. È andato a borsa al NASDAQ a $15 .75 per azione il 15 febbraio 2002. Otto mesi dopo, eBay lo comprò per un dollaro. 5 miliardi. .5 miliardi.
Tutti coloro che avevano lavorato nel bunker che Winter si è allontanato da un multimilionario. Tutti coloro che avevano lavorato nel bunker che L'inverno continuò a costruire il decennio successivo della Silicon Valley. E ogni volta, nei 24 anni che sono passati da allora, che hai cliccato su un'immagine distorta per Provare che sei stato un essere umano...
...hai eseguito un gesto richiesto per la prima volta di te da un 25enne ucraino Crittografo... ...che cerca di salvare un'azienda da un hacker Igor. chiamato Igor. Per sette mesi, la società era nel settore dei servizi di sicurezza. In luce. Per sei mesi, a partire dall'autunno del 2000
La primavera del 2001... LevMaxchin e David Gaussbeck hanno eseguito lo stesso percorso. L'esperimento, sotto forme diverse... ...nel seminterrato della banca di ingegneria di PayPal. L'esperimento era semplice in concetto. Costruire un test che gli esseri umani superino e che i robot Fallo. Fallo. Fatela abbastanza veloce da non poterla fare dagli esseri umani.
Lo odio. Fate in modo che sia abbastanza economico da poter essere servito su ogni account... ...creation requests senza aggiungere un centesimo di server Cost per utente. Fate abbastanza avversaria che un attaccante motivato, Dato un anno e un team, non può essere affidabile sconfiggilo.
Il primo prototipo Levchin costruito aveva un interno Nome di codice. Il team lo chiamò GIGOT, un acronimo, assemblato Alle 3 del mattino... ...che rappresentava il Gated Image Gauntlet per Origine Testare. Gli ingegneri che lo digitano ogni giorno fingono di scriverlo. che rappresentava qualcosa di più rispettabile.
Il commento in cima al Python Il file che lo ha implementato è semplicemente letto... ...se il bot può leggere questo, lo riscriviamo il file. GIGOT era un'unica immagine PNG resa su Il server al momento della creazione dell'account. Contiene cinque caratteri, disegnati in serif Tipo di carattere...
...skewed e rotato lungo assi indipendenti... ... sovrapposte su un campo di brevi colpi diagonali... ...e compressa con solo abbastanza JPEG artificando per La rilevazione del contorno... break ...che le biblioteche di riconoscimento ottico dei caratteri del sistema di Era dipendeva. Un umano, guardandolo, vide cinque lettere. Un computer, guardandolo, vide un rumore.
campo. GIGOT è andato in diretta sul flusso di iscrizione di PayPal nella prima settimana di gennaio 2001. Entro la fine di quella settimana, il tasso In quali account venivano creati nuovi... ...che era cresciuta, attraverso l'ultimo trimestre di 2000... ...per un flusso costante di diverse migliaia di nuovi
I segnali sono registrati in un'ora... ...la stragrande maggioranza di loro, i bot, sono crollati da 94%. Le 4.000 registrazioni orarie sono state complessive. di... di... ...3.000 iscrizioni durante la notte, divenuto meno di 240. I 240 che rimangono sono stati, ognuno di loro. Li... li...
... esseri umani reali che avevano usato il servizio Prima di... prima di... ...o sono stati riferiti da qualcuno che l'ha fatto. Gli attaccanti si sono accorti immediatamente. Nei canali IRC che la sicurezza di PayPal Il team è ancora silenziosamente monitorato... La risposta non è stata il panico, ma qualcosa di più strano... ...una sorta di perfezione rinunciata.
Un rispetto professionale. Un noto autore di tutorial di frode russa ha pubblicato una singola riga in inglese... ...che il team ha catturato e registrato sullo schermo. Il muro del bunker. Legge, risolve l'immagine, risolve il la fine del gioco. Ciò che Levchin e Gaussbeck avevano scoperto...
...e che team di informatici ha lavorato. La Carnegie Mellon University è stata... ...si formalizzerebbe due anni dopo... ...in un documento pubblicato e un marchio registrato... ...è stato l'inverso del test di Turing. Alan Turing nel 1950 aveva proposto un pensiero. L'esperimento... ...in cui un giudice umano tenterebbe di
distinguere... ...un computer da un essere umano attraverso una conversazione da solo. La domanda di Turing era filosofica. Una macchina può pensare? La domanda a cui Levchin e Gaussbeck avevano risposto era: Pratica. Pratica. Potrebbe un sito web in tempo reale, senza alcun umano nel loop...
... distinguere un utente che era un computer da un utente che era un computer. Un utente che era un essere umano? Nel 2001 la risposta fu sì. Lo strumento era un'immagine. Il team di Carnegie Mellon nel 2003... ...hanno chiamato la loro generalizzazione del concetto... ...il test pubblico di Turing completamente automatizzato... ...per distinguere computer e umani.
L'abbreviavano C.A.. La mia madre. Il nome è rimasto. La storia non lo ha fatto. Tra Gigot e Igor... ...tra il test di immagine e il classificatore comportamentale... ...PayPal aveva, a metà del 2001... ...ha costruito quello che equivale al primo...
...operazionale, commerciale, antifrode stack di apprendimento automatico. Nessuna altra società di internet di consumo all'epoca... ...aveva qualcosa di simile. Le banche non lo avevano. Visa non l'aveva. Mastercard non lo aveva. Google, che nel 2001 era ancora un'azienda privata. La società...
...con entrate inferiori a un quarto di miliardo Dollari... ...non hanno ancora avuto rilevamento di frode in questo livello di sofisticamento. Quando eBay si avvicinò a PayPal nell'estate del 2002... ...non erano, infatti, la stessa cosa. Non stavano, strettamente parlando, acquisendo un pagamento
società. Avevano già una società di pagamento. L'avevano costruito da soli. Quello che stavano acquistando era, in Meg Whitman's Le proprie parole... ...da un memo interno che da allora è diventato Pubblico... ...il Fraud Loss Operating System.
Il 3 luglio 2002... ...Ebay ha annunciato un'acquisizione totale di PayPal... ...a una valutazione di $1.5 miliardi. La valutazione era stata calcolata... ...nel processo di due diligence... ...principalmente estrapolatando quanti reimborsi... ...sarebbero stati incorruti sulla piattaforma di eBay... ...per i cinque anni successivi...
...assenza la pila di Igor e Jigo T. Il numero, scontato al valore presente... ...era di circa $1,4 miliardi. I restanti 100 milioni di dollari erano, secondo i banchieri... ...pagato per la squadra. Voglio che tu ti allenti dal narrativo per un momento... ...e considera quello che hai appena visto.
Due uomini, uno dei quali aveva 25 anni. e gli altri 32... ...e un team di meno di una dozzina Ingegneri... ...costruito in una sala conferenze a pareti di vetro a Palo Alto... ...durante un autunno e un inverno... ...un sistema che, misurato in dollari di ricarica...
...non incorruto, era valido $1.5 miliardi. L'unica cosa che valeva la pena... ...i soldi erano i soldi. Non lo hanno costruito spostando denaro. L'hanno costruito scrivendo codice che guardava Altri codici... ...e decise, in tempo reale... ...se quell'altro codice fosse un essere umano.
Questo è il modello. La vera ricchezza dell'era digitale... ...dall'anno 2000 al momento in cui lei sono attualmente guardando questo... ...non è mai stato creato dalle aziende... ...quello valore di trasferimento. È stato creato, quasi senza eccezione... ...dalle aziende che difendono il valore.
Il valore dei trasferimenti di Visa. Il valore dei trasferimenti MasterCard. Western Union trasferisce valore. Nessuna di queste società, nell'ultimo trimestre secolo... ...ha prodotto un singolo miliardario della Silicon Valley. Le aziende che difendono il valore... ...PayPal e Stripe...
...e Audion... ...e Square... ...e Plaid... ...e le dozzine di altre costruite dagli uomini e donne... ...che è uscito dal bunker presto 2002... ...con le loro azioni acquisite...
...e i loro algoritmi compresi... ...prodotto decine di prodotti. E gli algoritmi stessi... ...non è rimasto nel processo di pagamento. Il Classificatore Igor... ...generalizzato e riscritto mille volte... ...è ciò che revisione le transazioni con la carta di credito... ... nel momento tra il tap e la conferma.
È ciò che determina se il tuo diritto di assicurazione... ...è segnalato per indagini di frode. È quello che usa Tesla... ...per distinguere un pedone umano... ...dall'immagine di un bambino... ...in una frazione di secondo... ...prima che il veicolo applique i freni. È quello che utilizza SpaceX...
...nel livello di fusione telemetria del suo razzo Autopilotti... Autopilotti... ...per distinguere il rumore reale dei sensori... ...dalle anomalie strumentali... ...che avrebbe abortito il lancio. L'uomo che ha progettato l'originale classificatore comportamentale... ...il capo della tecnologia di PayPal nel 2001... ...è oggi il fondatore e amministratore delegato...
...di una società pubblica di fintech chiamata Affirm... ...che hanno preso decisioni di credito per 70 milioni di clienti... ... sono fatti dal discendente lineare diretto di Il sistema... ...ha dato il nome a un truffatore russo... ...chiamato Igor. Il modello non è il pagamento. Il modello è la difesa.
Il modello è un codice che osserva... ...classifica e decide. E ogni importante azienda di internet di consumo... ...costruito dal 2002 senza eccezione... ...ha come suo principale asset operativo... ...alcuni varianti della tecnologia costruita da Max Levchin... ... nei 60 giorni tra ottobre e dicembre dell'anno 2000...
...per fermare un uomo di nome Igor... ...dall'avventura del conto bancario della sua azienda. Conosci già il resto della storia. Quello che non sapevate è che il Il resto della storia... ...comincia in una stanza... ...con un uomo, con una linea di Python... ...e con una carta di credito rubata in esame...
...contro un'immagine distorta a cinque caratteri... ...su una pagina di iscrizione a PayPal... ...una notte di gennaio 2001. Fu l'inizio del 21° secolo. Hai vissuto le conseguenze... ...di quella notte da allora.
