Atak Sybil to atak hakerów komputerowych na sieć peer-to-peer (P2P). Jego nazwa pochodzi od powieści Sybil, która opowiada o leczeniu kobiety ze skrajnym zaburzeniem dysocjacyjnym tożsamości. Atak jest wymierzony w system reputacji programu P2P i pozwala hakerowi na uzyskanie nieuczciwej przewagi w wpływaniu na reputację i wynik plików przechowywanych w sieci P2P. Kilka czynników określa, jak zły może być atak Sybil, na przykład, czy wszystkie podmioty mogą w równym stopniu wpłynąć na system reputacji, jak łatwo jest stworzyć podmiot oraz czy program akceptuje niezaufane podmioty i ich wkład. Weryfikacja kont to najlepszy sposób, aby administratorzy mogli zapobiec takim atakom, ale to oznacza utratę anonimowości użytkowników.
W sieci P2P istnieje komponent znany jako system reputacji. Ten system uwzględnia oceny, opinie i wyniki dotyczące plików, dostawców usług i wszystkiego, co przechowuje sieć P2P. Pozwala innym użytkownikom wiedzieć, czy jednostka jest warta zachodu, czy powinna zostać pominięta. Zawyżając wynik, niebezpieczne lub bezwartościowe podmioty okażą się wartościowe i mogą spowodować, że odwiedzający zostaną oszukani w celu pobrania lub korzystania z podmiotu. Aby osiągnąć ten cel, haker inicjuje atak Sybil.
Sam atak Sybil polega na tym, że haker tworzy ogromną liczbę podmiotów lub kont. Pozwala to hakerowi podbić reputację podmiotu, głosując na niego setki, tysiące — lub więcej — razy, dopóki inni członkowie nie zaufają temu podmiotowi. W tym scenariuszu haker będzie mógł kontrolować wpływ prawie wszystkich podmiotów w sieci P2P poprzez głosowanie w górę lub w dół, co może umożliwić hakerowi wyrzucenie innych podmiotów z sieci P2P.
Jaki efekt będzie miał atak Sybil, zależy od ustawień sieci P2P. Jeśli wszystkie podmioty, niezależnie od ich reputacji, mogą w równym stopniu wpływać na inne podmioty, pozwala to hakerowi być bardziej skutecznym. Gdy konta są łatwe do utworzenia i wymagają niewielkiej ilości informacji, haker jest w stanie szybko zgromadzić dużą liczbę kont. Jeśli ktoś jest nowy lub okaże się, że jest niezaufanym podmiotem, ale jego dane wejściowe są nadal uwzględniane przez system reputacji, atakujący może nadal wpływać na system, chyba że konta zostaną z niego usunięte.
Najskuteczniejszym sposobem radzenia sobie z atakiem Sybil jest zainicjowanie przez administratora technik walidacji, które zapewnią, że ludzie będą posiadać tylko jeden podmiot lub konto. Spowoduje to, że nowi użytkownicy będą przesyłać poufne informacje lub zmuszą ich do ujawnienia informacji o sobie, które niektórzy użytkownicy mogą uznać za naruszenie prywatności. Ten brak anonimowości może sprawić, że niektórzy użytkownicy nie będą chcieli dołączać do sieci P2P, ale uniknie się ataku Sybil.