The Silicon Siege: How The PayPal Mafia Survived The First Cyberwar
THE SILICON SIEGE
How The PayPal Mafia Survived The First Cyberwar
Cada pagamento on-line que você fez em seu Toda a vida existe por causa de uma guerra que Foi disputado no ano de 2000 em uma batalha de guerra. Edifício de escritório único em Palo Alto, Califórnia, contra Um inimigo que a maior parte do mundo tem. desde que esquecido. A guerra durou 18 meses. No seu auge, os defensores estavam perdendo 10 dólares.
milhões a cada 30 dias. Os atacantes eram, segundo uma estimativa interna, 12 Cerca de mil seres humanos espalhados por quatro continentes, organizados. Em células por fuso horário e idioma, coordenando através de canais IRC que os defensores poderiam ler Em tempo real, mas não conseguiu desligar. Todos se lembram das pessoas que ganharam. Elon Musk, Peter Thiel, Max Lebtchen, Reid Hoffman,
Rolof Botha. David Sachs. O Vale do Silício chama-lhes a Máfia PayPal. Eles, nos próximos 20 anos, encontrariam Tesla, SpaceX, Palantir, LinkedIn, YouTube, Yelp e os outros. Os fundos de risco que financiaram a maior parte do resto. O que quase ninguém se lembra é que, no No ano 2000, a empresa que eles estavam dirigindo era a empresa de
18 meses a partir da insolvência, Porque o Crimes Organizados Globais... ...a comunidade tinha encontrado uma maneira de extrair dinheiro de forma mais rápida do que poderia ser depositado. Este é um documentário sobre a tecnologia específica e os homens específicos que os deteram. Para entender o que aconteceu, você precisa entender O que X.com estava tentando fazer.
Em março de 2000, duas empresas se fundiram em um apressado... ...acordo de 40 páginas assinado em Palo Alto Empresa de advocacia. O primeiro foi Confinity, fundado por Peter Thiel. E Max Lebtchen, que tinha construído um sistema para enviar dinheiro entre os Pilotos de Palma. O segundo foi X.com, fundado por Elon
Musk, que estava tentando construir o que Musk tinha feito. Descrito na época, sem exagero, como... ...o Everything Bank. A empresa que se fundia tomou o nome do seu produto... ...do lado da Confinidade. Esse nome era PayPal. A ideia era simples, e na época, Radical.
Você poderia enviar um pagamento para qualquer outra pessoa na internet usando apenas o seu endereço de e-mail. Não há transferência bancária, não há dinheiro na entrega, não há Cheque. Um link foi clicado, alguns dígitos digitais, e O dinheiro se moveu entre continentes em segundos. Em 2000, este foi o single mais interessante. produto de software na internet.
No final desse ano, o PayPal já estava disponível. processar quase 200.000 transações por dia. O eBay, que era então o maior mercado de consumo No mundo, já havia sido colonizada. 25% de todos os leilões eBay listados PayPal como seu método de pagamento preferido... ...e esse número estava subindo em dois dígitos. O número de transações estava aumentando em
Dois dígitos por mês. Então, muito silenciosamente, o dinheiro começou a desaparecer. O mecanismo era simples. Um fraudeiro, trabalhando de um porão em St. Petersburg. Petersburg ou um cybercafe em Lagos, adquiriria Um cartão de crédito americano roubado. Na época, você poderia comprar cinco de. Estes são fechados no IRC por US$ 30.
Ele abriria uma conta PayPal com um link. nome americano roubado, financiar a conta por faturamento O cartão roubado, e usar o saldo resultante Para comprar itens de alto valor no eBay... ...cameras, eletrônicos, laptops. Os itens enviariam para um endereço de entrega nos Estados Unidos. Um colaborador os encaminhava para o exterior.
E quando o verdadeiro titular do cartão percebeu a acusação e apresentou a disputa... ...o dinheiro tinha sido retirado em dinheiro, e A conta do PayPal estava vazia. As empresas de cartão de crédito, sob a lei federal americana, foram Para reverter os encargos fraudulentos. A inversão foi um recargo. O recargo não foi cobrado ao fraudeiro,
Mas para o comerciante. O PayPal, em cada uma dessas transações, foi usado. O comerciante. Em abril de 2000, o PayPal absorveu US$200 mil. em reembolsos. Em junho, US$ 3,1 milhões. Em setembro, US$ 7 milhões. No início do inverno de 2000, a empresa foi lançada.
estava perdendo, apenas em recargos, mais de US$ 11 Milhões por mês. Os investidores de risco que financiaram a fusão... ...Sekoya, Madrone, Nokia Ventures... ...era em privado, usando a palavra insolvente. Musk, que era o presidente, estava convocando o conselho. reuniões em que a frase... reuniões ... ...
'Temos cinco meses de pista' apareceu literalmente nas aulas. Thiel, que era o CEO, estava dormindo em O escritório quatro noites por semana. O inimigo não era uma pessoa. Ele era um ecossistema. No outono de 2000... ...foros de fraude na Internet russa tinham um todo
Subseções dedicadas à exploração do PayPal. Os tutoriais, escritos primeiro em russo, depois traduzidos para o russo. Romeno, polonês e inglês... ...explicado, passo a passo, qual o endereço de faturamento americano, Códigos zip, o sistema não verificou... ...que fornecedores de e-mail confiaram por padrão, e Que horas do dia a equipe de revisão Era insuficiente pessoal.
Um engenheiro sênior do PayPal, lendo estes fóruns em Em tempo real... ...mais tarde descreveu a experiência como... ... ... "Lendo o livro de jogos para o seu próprio funeral". Os defensores não conseguiram fechar os fóruns. Não tinham jurisdição sobre a Rússia ou a Nigéria. Eles não tinham relações com a polícia capazes de
Operando na velocidade da Internet que estava a funcionar em. O FBI, na época... ... ainda não tinha um data center. Eles tinham uma unidade dedicada ao cibercrime com a CIA. Autoridade para subpoena um servidor IRC. E assim, nas últimas semanas de 2000... ...Musk e Thiel e Levchin entendiram, sem ter tido
para o declarar em voz alta... ...a estrutura exata do problema que eles eram dentro. Nenhum governo iria salvá-los. Nenhum consórcio industrial iria salvá-los. Nenhum regulador iria salvá-los. Nenhum governo iria salvá-los. Eles teriam que construir o
armas em si mesmas. O código. No edifício. Nos próximos 60 dias. O diretor de tecnologia do PayPal em 2019 O ano 2000... ...era um criptógrafo de 25 anos de nascimento ucraniano chamado Max Levchin.
Levchin havia deixado a União Soviética com seu pai. família aos 16... ...inscrito na Universidade do Illinois... ...e escreveu sua tese de mestrado em chave pública criptografia... criptografia ...antes de abandonar para fundar sua primeira startup. Quando chegou a Palo Alto, ele já estava em pé. Construí e vendeu duas pequenas empresas...
...dos quais ambos tinham falhado comercialmente... ...e tinha desenvolvido, em particular, uma convicção que iria, No final, salve o PayPal. A convicção era esta. Homens e máquinas, dada a mesma tarefa, fazem o mesmo. Não o executar da mesma forma. Um ser humano clicando num rato não faz clic em uma linha perfeitamente reta.
Um ser humano que digita um senha não digita. Cada personagem no mesmo intervalo. Um ser humano preenchendo um formulário não faz isso. Encha-o na ordem em que os campos do formulário são preenchidos aparecem no HTML subjacente da página. As máquinas fazem. Os fraudadores, em outubro de 2000, não estavam digitando. Eles estavam a escrever um script.
Os mesmos fóruns russos que distribuíram passo a passo -passo PayPal exploração guias... ...também distribuíram scripts de Perl pré-escrito que automatizavam A conta inteira... ...ciclo de abertura e execução de transações. Um operador humano, a partir de um único laptop... ...poderia executar várias centenas de contas simultâneas. A economia do atacante não era um enxame de terroristas.
Hackers individuais. Era um enxame de bots, operado por. um número muito menor de humanos. E isso significava que havia um sinal. Se Levchin pudesse detectar o sinal... ...se ele pudesse distinguir, em tempo real... ...entre um ser humano que se inscreveu em um PayPal Conta...
...e um script para se inscrever em um PayPal Conta... ...que ele poderia recusar as transações do roteiro... ...sem recusar os humanos. A fraude morreria no nível da base de dados. Os clientes legítimos nunca perceberão. Levchin e uma pequena equipe de engenheiros... ...trabalhando de uma sala de conferências com paredes de vidro...
...que o resto da empresa tinha tomado para chamar o Bunker... ...começou a catalogar todas as diferenças observáveis... ...entre o comportamento humano e o comportamento scriptado no PayPal site. site. Um ser humano clicando no botão Continue levou, em A média... média... ...entre 800 e 1200 milissegundos...
...depois que a página terminou de carregar. Um script clicado em menos de 60. O cursor de um ser humano que se move entre campos de forma traçados um arco. Um script teletransportou o cursor de campo para. campo em linha reta. Os intervalos de batida de teclado de um ser humano... ...gravando uma senha...
...seguiu uma distribuição de lei de poder aproximada. Os intervalos de um script eram uniformes. O endereço IP de um ser humano geolocalizado para um residencial Bloco. Bloco. O endereço IP de um script foi geolocado sete vezes em. Dez... ...a um provedor de hospedagem. Um endereço de data center que nenhum consumidor comum faria.
de onde jamais vieram. Cada uma dessas observações, isoladamente... ...era um sinal fraco. Qualquer um deles poderia ser derrotado por Um atacante suficientemente inteligente. Mas combinados, combinados estatisticamente... ...através do que a equipe de Levchin começou a chamar de "Signal". A pontuação...
...produziram um único número entre 0 e. 1 que... ...para qualquer amostra suficientemente grande... ...distinguido humano de bot com mais de 90 Precisação em %. A equipe deu ao classificador um nome em código. Eles o nomearam em homenagem a um fraudeiro russo específico. Quem tinha...
...dois meses antes, publicado em um canal IRC... ...que os engenheiros do PayPal eram muito americanos e também Lenta para pegá-lo. O punho do fraudeiro era Igor. O classificador foi Igor. Igor foi ao vivo na Internet... ...no backend do PayPal em novembro de 2000... ...flagging transações que ultrapassaram um limiar de pontuação para
revisão manual. Dentro de 72 horas, a taxa de recarga no sistema de recuperação será aplicada ao usuário. O segmento flagrado caiu 61%. Dentro de uma semana, uma primeira geração de feedback adversário. Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localização: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Localización: Loque: Loque: Loque: Loque: Loque. ...era visível nos registros. Os atacantes estavam ajustando seus scripts para produzir mais padrões de cliques de aparência humana.
Levchin adicionou novos recursos. Os ajustes retardaram os atacantes. A taxa de recarga permaneceu suprimida. Igor sozinho, no entanto, não foi suficiente. Os scripts eram uma categoria de inimigos. A outra categoria, mais difícil de detectar através do comportamento. sozinho... Análise ...era o bot de criação de contas.
Um bot que registrou 5.000 contas PayPal Em uma hora... ...cada um com nomes plausiblemente aleatórios e e-mail de trabalho endereços... ...poderia produzir um inventário de contas de mule... ...mais rápido do que Igor poderia sinalizar depois. O que era necessário era um portão... ...um único teste colocado na frente do
O fluxo de criação de conta... ...que nenhum bot poderia passar e que cada um O ser humano poderia. Em dezembro de 2000, Levchin e um colega foram levados para a prisão. David Gozbeck designou-o e nomeou-o. Eles pegaram uma grade de caracteres arbitrários... ...cinco dígitos alfanuméricos... ...e rendeu a grade como uma imagem distorcida...
...e exigia que o usuário transcrevesse os dígitos antes que a criação de contas pudesse continuar. Os seres humanos, olhando para a imagem, podiam ler o texto. caracteres em menos de dois segundos. Software de reconhecimento de caracteres ópticos no ano de 2000 Não sabia ler-as. O teste foi chamado de teste Gozbeck-Levchin. Foi, no sentido acadêmico estrito, o .
A primeira implantação comercial de uma categoria de tecnologia... ...que uma equipe de Carnegie Mellon faria, dois Anos depois, generalizou e renomeou. O nome Carnegie Mellon é o nome que Ficou preso. Hoje, bilhões de seres humanos passam por isso todos os dias. dia sem saber a sua origem. O nome é C.A.
Papin. A empresa foi fundada em 1935. Entre Igor e CAPTCHA... ...entre a classificação comportamental e o teste Gozbeck-Levchin... ...a taxa de recarga no PayPal, que tinha atingido o pico No final do outono de 2000... ...em quase 5% do volume bruto de transações... ... caiu, nos primeiros seis meses de 2001,
De menos de um terço a um terço de 1%. A empresa estava solvente até a primavera. Foi rentável até o outono. Ele foi a bolsa no NASDAQ a $15 0,75 por ação em 15 de fevereiro 2002. 2002. Oito meses depois, o eBay comprou-o por US$ 1. 5 bilhões. .5 bilhões.
Todos os que tinham trabalhado no bunker que Winter foi um multimilhão. Todos os que tinham trabalhado no bunker que O inverno continuou a construir a próxima década do Vale do Silício. E, a cada vez, nos 24 anos que se seguiram, que você clicou em uma imagem distorcida para provar que você era um ser humano...
...você tem estado realizando um gesto primeiro exigido de você por um ucraniano de 25 anos criptógrafo... ... tentando salvar uma empresa de um hacker Igor. chamado Igor. Durante sete meses, a empresa estava no mercado de vendas. A luz do centro das atenções. Durante seis meses, a partir do outono de 2000
Até a primavera de 2001... LevMaxchin e David Gaussbeck executaram o mesmo procedimento. Experimento, em diferentes formas... ...na baía de engenharia do porão do PayPal. O experimento foi simples em conceito. Construa um teste que os humanos possam passar e os bots. Falar. Falar. Faça-o rápido o suficiente para que os humanos não o façam.
Odeio. Torne-o barato o suficiente para ser servido em todas as contas... ...criar solicitações sem adicionar um centavo de servidor custo por usuário. Torne-o adversário o suficiente para que um atacante motivado, Dado um ano e uma equipe, não pode ser confiável derrotá-lo.
O primeiro protótipo Levchin construído teve um protótipo interno. Nome de código. A equipe chamou-lhe GIGOT, um acrônimo, assembled Às 3 da manhã... ...que representava o Gauntlet de Imagem Gated para Origem Testes. Os engenheiros que o digitavam todos os dias fingiram que o faziam. que significava algo mais respeitável.
O comentário no topo do Python O arquivo que o implementou simplesmente leu... ...se o bot consegue ler isto, reescrevemos o arquivo. GIGOT foi uma única imagem PNG renderizada em. O servidor no momento da criação da conta. Contém cinco caracteres, desenhados em serif. Tipo de letra...
...skewed e girado ao longo de eixos independentes... ... sobrepostos em um campo de traços diagonais curtos... ...e comprimido com apenas o suficiente de artefatura de JPEG para O detecção de contornos... break ...que as bibliotecas de reconhecimento de caracteres ópticos do sistema de leitura Era dependente. Um humano, olhando para ele, viu cinco letras. Um computador, olhando para ele, viu um ruído
campo. O GIGOT foi transmitido ao vivo no fluxo de inscrições do PayPal na primeira semana de janeiro de 2001. Até o final dessa semana, a taxa Em que novas contas estavam sendo criadas... ...que tinha crescido, durante o último trimestre de 2000... ...para um fluxo constante de vários milhares de novos
Inscrições em uma hora... ...a esmagadora maioria dos bots, que foram destruídos por 94%. Os 4.000 registos por hora foram um total de de... de... ...3.000 inscrições durante a noite, tornou-se menos de 240. Os 240 que ficaram foram, cada um de Os... os...
...seres humanos reais que usaram o serviço Antes de... antes de... ...ou foi encaminhado por alguém que tinha. Os atacantes perceberam imediatamente. Nos canais IRC que a segurança do PayPal A equipe ainda estava silenciosamente monitorada... A resposta não foi pânico, mas algo mais estranho... ...uma espécie de perfeição resignada.
Um respeito profissional. Um autor de um bem conhecido tutorial de fraude russa publicado uma única linha em inglês... ...que a equipe capturou e gravou no ecrã. A parede do bunker. Ele lê, resolve a imagem, resolve o. O fim do jogo. O que Levchin e Gaussbeck tinham descoberto...
...e que equipe de cientistas de computação está a fazer. A Universidade Carnegie Mellon... ... seria formalizada dois anos depois... ...em um papel publicado e uma marca registrada... ... foi o inverso do teste de Turing. Alan Turing em 1950 propôs um pensamento. Experimento... ...em que um juiz humano tentaria tentar
distinguir... ...um computador de um ser humano através de uma conversa sozinho. A pergunta de Turing foi filosófica. Uma máquina poderia pensar? A pergunta a que Levchin e Gaussbeck tinham respondido era: prático. Praticado. Poderia um site em tempo real, sem nenhum humano no loop...
...distingue um usuário que era um computador de Um usuário que era um ser humano? A resposta no ano de 2001 foi sim. A ferramenta era uma imagem. A equipe de Carnegie Mellon em 2003... ...chamou sua generalização do conceito... ...o teste público de Turing completamente automatizado... ...para distinguir computadores e humanos.
Eles abreviaram C.A. A criança. O nome ficou preso. A história não o fez. Entre Gigot e Igor... ...entre o teste de imagem e o classificador de comportamento... ...O PayPal tinha, em meados de 2001... ...construiu o que equivale ao primeiro...
...a pilha de aprendizado de máquina operacional, comercial e anti-fraude. Nenhuma outra empresa de internet de consumo na época... ... tinha qualquer coisa parecida. Os bancos não tinham. O Visa não o tinha. A Mastercard não a tinha. O Google, que em 2001 ainda era um Google privado empresa...
...com receitas abaixo de um quarto de bilhão Doar... Doar... ... ainda não tinha detecção de fraude neste momento nível de sofisticação. Quando o eBay se aproximou do PayPal no verão de 2007 2002... ...na verdade, não eram a mesma coisa. Não estavam, estritamente falando, a adquirir um pagamento
empresa. Eles já tinham uma empresa de pagamentos. Eles próprios a construíram. O que eles estavam adquirindo foi, em Meg Whitman's palavras próprias... ...de um memorando interno que desde então se tornou público... ...o Sistema Operativo Fraud Loss.
No dia 3 de julho de 2002... ...Ebay anunciou uma aquisição total de PayPal... ...com uma avaliação de US$ 1,5 bilhão. A avaliação tinha sido calculada... ...no processo de diligência devido... ...principalmente extrapolar o número de recargos... ...seria incorrido na própria plataforma do eBay... ... nos cinco anos seguintes...
...ausente da pilha de Igor e Jigo T. O número, descontado ao valor presente... ...era de aproximadamente US$ 1,4 bilhão. Os restantes 100 milhões de dólares foram, disseram os banqueiros... ...pagado pela equipe. Quero que você se afaste do Narrativa por um momento... ...e considere o que você acabou de assistir.
Dois homens, um deles com 25 anos. e os outros 32... ...e uma equipe de menos de uma dúzia Engenheiros... ...construído em uma sala de conferências de vidro em Palo Alto... ...entre um outono e outro inverno... ...um sistema que, quando medido em dólares de recarga...
...não incorrido, foi valorizado em US$ 1,5 bilhão. A única coisa que valeu a pena... ...o dinheiro era o dinheiro. Não o construíram movendo dinheiro. Eles construíram-na escrevendo código que assistiu outro código... ...e decidiu, em tempo real... ...se esse outro código era um ser humano.
Este é o padrão. A verdadeira riqueza da era digital... ...do ano de 2000 até o momento em que você se tornou um grande fã da série. estão atualmente assistindo a isto... ... nunca foi criado pelas empresas... ...que o valor de transferência. Foi criado, quase sem exceção... ... pelas empresas que defendem o valor.
O valor das transferências de visto. A MasterCard transfere valor. Western Union transferências valor. Nenhuma dessas empresas, no último trimestre século... ...produziu um único bilionário do Vale do Silício. As empresas que defendem o valor... ...PayPal e Stripe...
...e Audion... ...e o Quadrado... ...e a Plaid... ...e as dezenas de outras construídas pelos homens e mulheres... ...que saiu do bunker cedo 2002... ...com suas ações adquiridas...
...e seus algoritmos entendidos... ...produziu dezenas. E os próprios algoritmos... ...não permaneceu no processamento de pagamentos. O Classificador Igor... ...generalizada e reescritada mil vezes... ... é o que revisa as suas transações com cartão de crédito... ...no momento entre o toque e a confirmação.
É o que decide se o seu pedido de seguro... ...é sinalizado por investigação de fraude. É o que Tesla usa... ...para distinguir um pedestre humano... ...de um desenho de uma criança... ...na fração de segundo... ...antes que o veículo aplique os seus freios. É o que a SpaceX usa...
...na camada de fusão de telemetria de seu foguete Autopilotos... ...para distinguir o ruído real dos sensores... ...de anomalias instrumentadas... ...que abortaria o lançamento. O homem que criou o classificador de comportamento original... ...o diretor de tecnologia do PayPal em 2001... ...é hoje o fundador e CEO...
...de uma empresa pública de fintech chamada Affirm... ...cujas decisões de crédito para 70 milhões de clientes... ...são feitos pelo descendente linear direto de O sistema... ...ele primeiro nomeou em homenagem a um fraudeiro russo... ...nomeado Igor. O padrão não é o pagamento. O padrão é a defesa.
O padrão é um código que observa... ...classifica e decide. E todas as empresas de internet de consumo significativas... ...construído desde 2002 sem exceção... ...tem como seu principal ativo operacional... ...alguma variante da tecnologia que Max Levchin construiu... ... nos 60 dias entre outubro e dezembro do ano 2000...
...para parar um homem chamado Igor... ...de tirar o dinheiro da conta bancária da sua empresa. Você já conhece o resto da história. O que você não sabia é que o O resto da história... ... começa em um quarto... ...com um homem, com uma linha de Python... ...e com um cartão de crédito roubado sendo testado...
...contro uma imagem distorcida de cinco caracteres... ...em uma página de assinatura do PayPal... ...uma noite de janeiro de 2001. Esse foi o início do século XXI. Você tem vivido com as consequências... ...da noite daquele dia.
