Entrevista com Ken Miller, ex-executivo do PayPal e COO da Gem.

Quando se trata do mundo dos pagamentos digitais, a segurança tem sido, universalmente, uma prioridade máxima. Na vanguarda da revolução dos pagamentos digitais na última década está... PayPalO PayPal é uma plataforma global de pagamentos com 165 milhões de contas de clientes ativas e processa quase 12.5 milhões de pagamentos por dia. Utilizando tecnologia padrão do setor bancário, como SSL, para manter as informações dos clientes seguras, o PayPal é líder do setor em sistemas de prevenção de fraudes de última geração e está sempre desenvolvendo novas tecnologias antifraude.

Embora a ideia de que o Bitcoin possa ser mais seguro que o PayPal não surpreenda muitos dos nossos leitores, existem diferenças cruciais entre a segurança do Bitcoin e a do PayPal. Em nossa busca para descobrir o quanto o Bitcoin é mais seguro e de que maneiras, recorremos a Ken Miller, ex-executivo sênior do PayPal e atual COO da empresa de segurança de Bitcoin, Gema.

Miller foi um dos primeiros funcionários do PayPal; o número 22, para ser preciso. Ele passou seus primeiros anos lá ajudando a construir do zero os sistemas antifraude do PayPal. Naquela época, parecia que sempre havia um novo tipo de golpe ou ataque fraudulento que a equipe de Miller precisava resolver rapidamente para que o PayPal continuasse funcionando.

“Estávamos testemunhando uma constante enxurrada de ataques diversos, desde roubo de cartões de crédito e contas bancárias até fraudes contra comerciantes e ataques de phishing.”
— Miller

Os ataques não eram apenas frequentes, mas também apresentavam outros riscos que não existem hoje. Naquela época, o comércio eletrônico era um conceito relativamente novo. Os certificados de sites eram uma novidade e ainda não eram amplamente confiáveis. Ferramentas como transações ponto a ponto e níveis mais altos de criptografia para sites, que usamos hoje, sequer existiam. Para combater esses ataques frequentes, Miller e sua equipe tiveram que construir sistemas inteiros por conta própria.

“Também tivemos que lidar com problemas tradicionais de crédito, como comerciantes que não tinham experiência em negócios e o risco que isso acarreta (é mais um risco de falência do que de fraude).”
— Miller

Muitos sistemas de segurança inovadores que desempenham papéis importantes no comércio eletrônico atual foram construídos por Miller e sua equipe: "Alguns anos depois de eu ter começado a trabalhar lá, criamos outras coisas interessantes, como pagamentos instantâneos por ACH e o Programa de Proteção ao Comprador do PayPal/eBay, que foi um esforço enorme e inovador que ofereceu proteção ao consumidor em todas as transações do PayPal."

À medida que progredia na PayPal, chegando eventualmente à alta direção, Miller presenciou todos os tipos de golpes. O golpe mais comum que ele viu ao longo dos anos tinha como alvo pais que compravam presentes de Natal populares para seus filhos. Esses golpistas identificavam itens sazonais, especialmente aqueles que já estavam esgotados nas lojas de varejo comuns. "Um ano foi um boneco do Elmo, em outro ano foi o Playstation 2", compartilhou Miller.

“Esses bandidos criavam sites falsos alegando ter um grande estoque do brinquedo e coagiam pais desavisados ​​a comprá-lo. O bandido então fugia com milhares de dólares e o pai, que pensava que seria um herói, ficava sem o brinquedo e sem dinheiro.”
— Miller

Além dos feriados, era comum ver pessoas tentando aplicar golpes o ano todo. "Também tínhamos gente que tentava burlar o sistema e depois alegava ignorância ou tentava se safar com tecnicalidades", explicou Miller. "Em uma dessas ocasiões, um vendedor do eBay publicou um anúncio com a foto da frente de um console Playstation e listou o preço do leilão por um valor um pouco abaixo do preço de mercado do Playstation (por exemplo, acho que na época custavam cerca de US$ 300, então o vendedor listou por US$ 275)."

“O leilão foi encerrado e o comprador enviou o dinheiro. O vendedor enviou uma caixa vazia de Playstation e tentou alegar que era legítima porque era tudo o que a foto mostrava. A partir daí, o caos se instaurou.”
— Miller

As conquistas de Miller na área de combate à fraude o colocaram em evidência e, ocasionalmente, também colocaram sua vida em perigo. Um artigo de revista que apresentava Miller, sobre o sucesso e a inovação do PayPal no combate a atividades fraudulentas, atraiu uma atenção indevida.

"Pouco tempo depois, recebi um e-mail com ameaças de morte em inglês macarrônico de um grupo do crime organizado na Rússia, informando que não apreciavam o que estávamos fazendo, sabiam quem eu era e onde eu morava, e que eu deveria parar de atacar suas atividades ou haveria retaliação e que eles poderiam 'me eliminar se quisessem'."
— Miller

As autoridades policiais intervieram e medidas foram tomadas. Mesmo assim, a experiência deixou Miller apreensivo por algum tempo: "nem preciso dizer que foi muito difícil ligar meu carro por algumas semanas depois disso."

A ameaça não impediu Miller de trabalhar na área de segurança e, mais tarde, ele minimizou o ocorrido, chamando-o de uma "experiência interessante". Ele permaneceu no PayPal por anos após o incidente, até finalmente se envolver com o Bitcoin.

Ao fazer a transição do PayPal para o Bitcoin, munido de todo o conhecimento antifraude que trouxe consigo, Miller possui uma compreensão única dos desafios resolvidos com o Bitcoin e daqueles que ainda precisam ser resolvidos.

“O sistema de pagamento Bitcoin é construído sobre o protocolo técnico Bitcoin, uma tecnologia diferente de tudo que já vimos. É rápido, barato, instantâneo e publicamente verificável. Os sistemas de pagamento tradicionais são construídos sobre plataformas legadas de décadas atrás, que funcionam com gambiarras, têm vulnerabilidades de segurança e são caras de usar.”
— Miller

Essa compreensão foi fundamental para o desenvolvimento da carteira de bitcoins de sua nova empresa. Miller explicou: “O protocolo bitcoin permite transações com múltiplas assinaturas, o que é uma capacidade de segurança excepcional quando implementada corretamente. A possibilidade de assinar transações com segurança usando chaves privadas e, em seguida, ter essa transação parcialmente assinada coassinada por uma terceira parte confiável e segura é realmente poderosa. E a beleza do bitcoin é que ele pode ser incorporado às transações de forma natural (assim como o HTTPS), em vez de tentar inseri-lo posteriormente e obrigar as organizações a desfazer anos de arquitetura que construíram.”

No entanto, o Bitcoin existe inteiramente como software, e é responsabilidade de cada empresa fornecer o hardware subjacente para executar seus produtos. Escolher o hardware certo para a tarefa é especialmente importante no âmbito da segurança, e mais uma vez Miller trouxe consigo conhecimento de padrões industriais.

Miller identificou que o mundo do bitcoin poderia se beneficiar da incorporação de práticas de segurança de hardware adotadas em outros setores, “um ótimo exemplo disso são os Módulos de Segurança de Hardware (HSMs). Os HSMs são dispositivos de hardware usados ​​para a geração e armazenamento de chaves privadas em outros setores (serviços financeiros, aeroespacial, governo) e, se implementados corretamente, podem representar uma forte defesa contra tentativas de invasão.”

“Na Gem, estamos usando esses dispositivos para gerar e armazenar todas as chaves de coassinatura da Gem em máquinas com certificação FIPS-140-2 Nível 3. Isso significa que elas são tão seguras que, mesmo que um funcionário desonesto tentasse arrombar o dispositivo e roubar os cartões de dentro, ele seria projetado para se autodestruir.”
— Miller

O resultado desse sistema híbrido é uma carteira com um nível de segurança que nem o mundo do Bitcoin, nem o sistema financeiro tradicional conseguiriam alcançar sozinhos. "Adicionar algo como HSMs aos benefícios adicionais da multi-assinatura e da própria tecnologia blockchain representa uma oportunidade realmente atraente para implementar segurança de uma forma completamente diferente de tudo o que existe nos serviços financeiros tradicionais."

Ao compartilhar suas histórias, era fácil perceber o orgulho que Miller sentia por suas conquistas, construindo tudo do zero, fazendo o possível para se manter no topo do mercado e trabalhando constantemente em novas ideias e sistemas. O PayPal introduziu muitos sistemas inovadores que ainda são usados ​​hoje.

“No PayPal, criamos coisas que são melhores por enquanto, mas não precisa continuar assim. Fomos realmente inovadores, pois fomos a primeira entidade a usar tanto o captcha quanto pequenos depósitos aleatórios em uma conta bancária para fins de verificação bancária.”
— Miller

Ambas as ferramentas são comuns no sistema bancário tradicional e até mesmo em algumas empresas de Bitcoin atualmente, incluindo a Coinbase. Miller exclamou: "É inacreditável pensar que não faz muito tempo que algo tão básico quanto um captcha sequer era usado."

Um fator crucial que o Bitcoin não possui, mas que o PayPal tem, é a disponibilidade de mão de obra qualificada. Miller acredita que existem certas tarefas que as pessoas executam melhor do que os protocolos. Para ilustrar esse ponto, Miller nos deu detalhes de como ele e sua equipe de estatísticos e programadores do PayPal trabalharam juntos para criar modelos sofisticados para seus esforços de prevenção de fraudes.

Sua equipe incorporou variáveis ​​como tamanho relativo da transação, tempo gasto para concluir o processo de inscrição, frequência de login e discrepâncias na localização do endereço IP em seus modelos detalhados, o que lhes deu uma enorme vantagem contra os fraudadores. Eles foram até capazes de se infiltrar no mercado negro com esses dados. "Fazíamos coisas bem criativas, como monitorar canais clandestinos de IRC onde contas roubadas do PayPal eram negociadas e vendidas, e ocasionalmente comprávamos algumas para direcionar os fraudadores e tentar descobrir como nossos sistemas não haviam detectado a invasão."

Os esforços de engenharia reversa deram resultado, mas revelaram o fato de que prevenir fraudes dessa forma é um processo contínuo e estressante: "Foi uma experiência que nos fez refletir, mas que foi proveitosa."

“Ficávamos animados quando víamos o preço das contas PayPal roubadas subir, porque isso sugeria que elas estavam se tornando mais difíceis de obter e, portanto, mais valiosas no mercado negro.”
— Miller

Tendo trabalhado extensivamente na área de segurança do PayPal e do Bitcoin, Miller acredita que o cidadão comum sentirá que o Bitcoin é realmente seguro, mais seguro do que uma conta bancária tradicional, quando uma combinação de dois fatores ocorrer em equilíbrio.

Em primeiro lugar, Miller acredita que os produtos financeiros de Bitcoin precisam ser muito mais seguros – a ponto de os ataques cibernéticos e as violações de segurança mensais serem coisa do passado.

“Até o momento, aproximadamente 1 em cada 10 bitcoins foi perdido ou roubado, o que é alarmante. Mas, assim como nos primórdios do PayPal, esse número pode ser reduzido a um nível aceitável e administrável em pouco tempo, e esses problemas e histórias praticamente desapareceriam.”
— Miller

Em segundo lugar, Miller acredita que as pessoas simplesmente terão que se acostumar a ver o bitcoin sendo usado com o tempo. Há um efeito psicológico de familiaridade crescente com cada uso.

“Há também um conforto que vem com o tempo e a percepção. Se um cliente usar sua carteira de bitcoin 20 vezes ao longo de 6 meses, a insegurança que ele possa ter sentido no início começará a se dissipar à medida que ele se acostuma com o produto e com a segurança que ele oferece.”
— Miller

Para ilustrar esse ponto, Miller usou uma analogia: “Quando tirei minha carteira de motorista, tenho quase certeza de que minha mãe achava que eu era um motorista péssimo, que me mataria ou mataria várias outras pessoas em poucos dias. Seis meses depois, a percepção e a segurança dela mudaram, principalmente por causa do tempo e da ausência de incidentes. Um novo sistema de pagamento que envolva dinheiro individual funcionará da mesma forma. Se for tão seguro ou mais seguro que as opções existentes, e se as pessoas se acostumarem a usá-lo sem incidentes, ele começará a ocupar um espaço menor em seus pensamentos.”

Embora tanto o Bitcoin quanto o PayPal busquem a máxima segurança, existem diferenças, e Miller acredita que o Bitcoin pode se tornar o sistema de pagamento mais seguro de todos, com mais tempo e desenvolvimento.

“Eventualmente, o bitcoin tem o potencial de ser muito mais seguro do que qualquer sistema de serviços financeiros existente, incluindo o PayPal.”
— Miller

Mas, aparentemente, alguns sucessos já estão sendo observados, especialmente com carteiras digitais como a Gem Wallet, de sua própria autoria. Quando perguntado diretamente, entre uma conta PayPal e uma Gem Wallet, em qual ele pessoalmente preferiria guardar US$ 1000 em economias hoje, Miller respondeu: “Fácil. Gem Wallet.”