1 pontos por GN⁺ 2024-07-25 | 1 comentários | Compartilhar no WhatsApp
  • A CrowdStrike enviou cartões-presente do Uber Eats no valor de US$ 10 para membros da equipe e parceiros envolvidos na resposta ao incidente de 19 de julho, como forma de pedido de desculpas e agradecimento
  • O e-mail reconhecia o trabalho extra causado pela falha, e houve casos no Reino Unido em que foi oferecido um voucher de £7,75
  • Alguns destinatários viram na quarta-feira, ao tentar usar o voucher, um erro dizendo que “o emissor o cancelou e ele não é mais válido”; a CrowdStrike afirmou que a Uber o marcou como fraude devido à alta taxa de uso
  • A atualização defeituosa deixou cerca de 8,5 milhões de dispositivos Windows inutilizáveis e, junto com BSODs, levou a atrasos em aeroportos, suspensão de cirurgias em hospitais e paralisação de atividades em empresas
  • A CrowdStrike disse que, por causa de um bug no processo de validação da atualização, dados de conteúdo problemáticos passaram pela validação; o CEO George Kurtz e o CSO Shawn Henry pediram desculpas publicamente

Pedido de desculpas com voucher de US$ 10 do Uber Eats

  • Depois de uma atualização defeituosa em 19 de julho causar falhas em milhões de computadores no mundo todo, a CrowdStrike enviou a parceiros cartões-presente do Uber Eats de US$ 10
  • Um e-mail recebido por um destinatário na terça-feira reconhecia “o trabalho extra causado pelo incidente de 19 de julho” e oferecia o cartão-presente
  • O e-mail incluía a frase “enviamos nosso sincero agradecimento e pedido de desculpas pelo inconveniente”, além da expressão “o próximo café ou lanche da madrugada é por nossa conta”
  • O remetente era um endereço de e-mail da CrowdStrike em nome do diretor de negócios Daniel Bernard
  • No Reino Unido, houve casos em que o valor do voucher era de £7,75, cerca de US$ 10 pela cotação da época

Erro de cancelamento do voucher e explicação

  • Na quarta-feira, alguns destinatários encontraram um erro de cancelamento ao tentar usar o voucher
  • A página do Uber Eats verificada pelo TechCrunch também exibia, para o cartão-presente, a mensagem de erro “o emissor o cancelou e ele não é mais válido”
  • O porta-voz da CrowdStrike, Kevin Benacci, confirmou que a empresa enviou os cartões-presente
    • Os destinatários eram membros da equipe e parceiros que estavam ajudando clientes nessa situação
    • A Uber marcou isso como fraude devido à alta taxa de uso

Escala da falha da atualização de 19 de julho

  • Na sexta-feira, a atualização defeituosa da CrowdStrike deixou cerca de 8,5 milhões de dispositivos Windows inutilizáveis, segundo a Microsoft
  • Os computadores afetados ficaram em estado de BSOD, exibido quando o Windows trava ou não carrega por causa de um erro fatal de software
  • A interrupção levou a atrasos em aeroportos de Amsterdã, Berlim, Dubai, Londres e por todos os Estados Unidos
  • Vários hospitais suspenderam cirurgias, e inúmeras empresas no mundo todo também tiveram suas atividades paralisadas

Investigação da causa e pedidos públicos de desculpas

  • Após a interrupção, a CrowdStrike passou a publicar atualizações regularmente para identificar a causa da grande falha
  • Em uma atualização na quarta-feira, a empresa disse que, por causa de um bug no processo que verifica se algo está pronto para ser distribuído aos dispositivos dos clientes, o código defeituoso passou pela validação mesmo contendo dados de conteúdo problemáticos
  • O CEO George Kurtz afirmou que nada é mais importante do que a confiança que clientes e parceiros depositam na CrowdStrike
  • Kurtz prometeu oferecer total transparência sobre como o incidente ocorreu e sobre as medidas para evitar que se repita
  • O diretor de segurança Shawn Henry escreveu no LinkedIn: “nós decepcionamos vocês e peço profundas desculpas por isso”
  • Henry descreveu as 48 horas como as mais difíceis em mais de 12 anos e disse que a confiança construída ao longo de anos foi em grande parte perdida em poucas horas

1 comentários

 
GN⁺ 2024-07-25
Opiniões no Hacker News
  • Algumas pessoas que postaram sobre o gift card na quarta-feira disseram que, ao tentar usar o cupom, receberam um erro informando que ele havia sido cancelado.
    Quando o TechCrunch verificou, a página do Uber Eats também mostrava um erro dizendo que o gift card foi cancelado pelo emissor e não é mais válido.

    • Isso mostra que a CrowdStrike não tem salvação.
    • CrowdStrike, por que você gastou isso?!
    • É correto entender que eles cancelaram um código reutilizável depois que ele foi compartilhado publicamente? Se for isso, parece bem razoável, e eu consideraria um erro menor comparado a distribuir código que quebra os computadores dos clientes ou oferecer 10 dólares como compensação por isso.
    • É como se a CrowdStrike tivesse atualizado o valor do cartão para null.
  • Com certeza é pior do que não dar gift card nenhum. É ofensivo.
    Se aconteceu algo grande, a resposta precisa parecer maior que a insatisfação, mas 10 dólares sinaliza “não achamos que isso seja grande coisa”. Agora todo mundo vai explicar exatamente por que é grande coisa, então eles já falharam no básico de relações públicas.

    • “10 dólares” está mais para “reconhecemos que temos uma obrigação moral, ética e provavelmente legal de reparar e compensar os danos, mas não vamos fazer isso”.
    • “Sentimos muito. Nós realmente estragamos feio este deploy. Na verdade, chegamos a nos perguntar se deveríamos estar vivos, ou se deveríamos ter nascido para começo de conversa. Talvez nada disso devesse ter existido.”
      Neste momento, é o máximo que consigo imaginar para conseguir superar os críticos.
    • Em um emprego antigo, nossa loja quebrou todo tipo de recorde de receita e superou de longe as outras lojas da região, e a empresa mandou um único gift card de 25 dólares para a equipe inteira.
      Não era um para cada pessoa, era um só para uma equipe de 8 pessoas, e naquele ano a receita passou facilmente de 3 milhões de dólares. Como recompensa por um bom trabalho, pareceu um tapa na cara.
    • Pior ainda pode ser quando você tenta realmente usar e a transação falha.
  • Isso me lembra algo que aconteceu em um emprego antigo. Depois de alguns anos trabalhando lá, alguém do RH ou do jurídico percebeu que os programadores nunca tinham assinado um acordo dizendo que “o código que escrevemos pertence à empresa”.
    Então pediram que assinássemos um documento com esse teor e deram a cada um um cheque de 20 dólares. Eu já achava que o código era da empresa de qualquer forma, mas, se eles estavam querendo comprá-lo, 20 dólares parecia pouco demais. Ainda assim, peguei os 20 dólares, assinei e voltei ao trabalho, mas isso sempre ficou como uma lembrança engraçada.

    • Provavelmente foi algo assim: todo contrato precisa de contraprestação; sem isso, não é um contrato válido.
      Não precisa ser uma contraprestação justa, então cláusulas como 1 dólar são comuns em muitos contratos. Talvez tenham sido gentis e aumentado para 20 dólares.
      Na prática, esse trabalho provavelmente já era propriedade da empresa pelo princípio de obra feita no curso do emprego, mas um contrato explícito elimina ambiguidades. Ambiguidades podem sair muito caras não só em processos judiciais, mas também em auditorias, e esse tipo de coisa aparece de forma incômoda em due diligence para aquisição, investimento ou empréstimo. Parece menos que estavam pagando pelo código e mais que estavam tentando regularizar a conformidade, provavelmente motivados por uma auditoria para alguma transação.
    • Contratos nos EUA, em geral, não são válidos sem contraprestação. Basicamente, todas as partes precisam receber algo de valor.
      https://www.nolo.com/legal-encyclopedia/consideration-every-...
      Pedidos de assinatura de contrato acompanhados de um pequeno pagamento em dinheiro devem ser analisados com mais cuidado.
    • Em 2004, junto com amigos, fechei contrato com uma empresa para criar um sistema de mensagens de texto, e a empresa não queria pagar a fatura do último mês.
      A desculpa era que tinham gastado todo o dinheiro comprando uma Harley personalizada para sorteio entre clientes, então não havia sobrado nada. CEO+CFO+advogados deles se reuniram com nossos advogados, e eles insistiam que não podiam pagar a última parcela de jeito nenhum. Quando puxamos o contrato e mostramos que não havia cláusula de cessão de propriedade intelectual, então eles não eram donos do código, disseram “precisamos de um momento”, saíram da sala e, quando voltaram, havia um cheque com o saldo em aberto no meio da mesa.
    • É por causa da peculiaridade dos contratos. Se apenas pedissem para assinar sem dar nada em troca, isso poderia ser contestado no tribunal, e os tribunais muitas vezes entenderam que “contratos unilaterais” não são válidos.
      Por exemplo, quando eu transfiro direitos autorais e a outra parte não dá nada em troca. 20 dólares é uma “contraprestação válida”, parecido com vender algo por 1 dólar em uma transação.
  • Isso me lembra um caso de morte por ato ilícito em que a família recebeu 4 dólares de indenização. É quase pior do que não receber praticamente nada.
    [0] https://hotair.com/jazz-shaw/2018/06/01/jury-awards-family-f...

    • Depois foi reduzido para 4 centavos e, mais tarde, revertido.
      https://www.tcpalm.com/story/news/local/st-lucie-county/2022...
      Como todos eram casos em que o júri estava muito dividido, parece que o valor baixo foi uma espécie de compromisso em cada caso.
    • Pode ser ainda pior. Significa “admitimos que erramos e que devemos algo, mas não nos importamos”.
      https://en.wikipedia.org/wiki/Peppercorn_(law)
    • Fico me perguntando quando vão começar a aparecer estimativas do número de mortes indiretas e diretas.
      Vários serviços do tipo 911 e hospitais ficaram parados por causa disso, e também houve relatos de equipamentos de radiologia fora do ar ou prontos-socorros voltando a papel e caneta.
    • Pelo menos o domínio daquele site é descritivo. A matéria está mais para exagerar um caso que não era tão significativo.
      Casos civis não têm resultado de verdadeiro/falso como casos criminais, e o valor da indenização não é um reconhecimento de que a vida valia 4 dólares, mas sim algo mais próximo de uma conclusão de que o réu quase não teve culpa.
  • Parece que eles não entendem não só de segurança, mas também de relacionamento com clientes. A publicidade é idiota, então aparentemente também não entendem de marketing
    É engraçado que o nome CrowdStrike soe como um drone de colheita usado para matar pessoas, e agora a metáfora também se encaixa

    • Imagino documentos desclassificados daqui a 50 anos revelando que a CrowdStrike era, na verdade, uma empresa controlada pela CIA, que operava uma botnet de ataque para uma ciberguerra prevista, usando como fachada, em tempos de paz, a história de um software de segurança com atualizações automáticas
      Todo mundo reviraria os olhos e perguntaria como fomos enganados se o nome já dizia isso tão descaradamente. Provavelmente é bobagem, mas, sinceramente, que nome é esse?
    • Já houve alguma empresa que atingiu multidões tão bem assim? O nome é perfeito
    • Hoje em dia comecei a chamá-los de ClownStrike. Porque, até agora, eles têm agido mais como um bando de palhaços de circo do que como uma organização que de fato sabe o que faz
      Essa proposta sem noção só reforça a impressão de que eles são apenas um bando de palhaços
    • CrowdStrike é um nome quase comicamente horrível
  • No Uber Eats, não dá nem para uma refeição, então é um valor deliciosamente insultante

    • Não é “quase insuficiente”. Da última vez que usei um cupom de desconto do Uber Eats, as taxas em uma refeição de 15 dólares eram tão altas que, mesmo com 30 dólares de desconto, eu ainda teria que pagar mais 35 dólares. Cancelei
    • Um vale-presente da Amazon ainda fica quase perto do valor em dinheiro, mas, considerando a inflação dos preços de delivery de comida, esses 10 dólares valem uns 4 dólares
    • Em dinheiro do Reino Unido, são 7,75 libras, e faz anos que não uso Uber Eats porque os preços são absurdos, mas talvez isso mal cubra mais do que a taxa de entrega
      E fico me perguntando quem são as pessoas que querem receber remotamente um McDonald’s 20 minutos depois de ele ter deixado de estar comestível, chacoalhado na traseira de uma moto. Vejo bicicletas por toda parte, mas nunca encontrei essas pessoas na vida real
  • Uma garota que estudou comigo no sul dos EUA agora trabalha como jornalista no Meio-Oeste. Ela ia voltar à cidade natal para ver a família por um tempo, mas a Delta cancelou o voo por causa da falha da CrowdStrike
    Alguns dias depois, o pai dela foi assassinado por um cliente insatisfeito enquanto trabalhava em uma joalheria na cidade natal. Nem consigo imaginar como deve ser perder a chance de ver o pai pela última vez por causa de um acidente tecnológico bizarro

    • Esse tipo de coisa pode acontecer por qualquer motivo. Um ônibus atrasa e você perde o voo, o tempo ruim atrasa o voo, ou você come fora, pega uma intoxicação alimentar e não consegue embarcar
      Qualquer coisa poderia ter sido a causa. Ainda é muito triste, mas às vezes a vida é assim
    • Se ela é jornalista hoje, há margem para isso repercutir ainda pior na cobertura da imprensa
      Mas o acidente da ClownStrike foi tão grande que talvez eles nem percebam
  • Pensando bem, alguém teve essa ideia, provavelmente várias pessoas aprovaram, e alguém ainda comprou os cartões ou configurou o envio para os clientes
    Isso significa que, em nenhum ponto do processo, alguém pensou: “isso não parece uma resposta adequada, melhor avisar alguém acima”. Talvez porque a ideia tenha vindo de cima
    Cartões de Uber Eats/DoorDash/Grubhub também não têm valor, porque com 10 dólares você não compra nada e precisa gastar mais 30. Acho que é por isso que as empresas compram essas coisas; o custo real de compra deve ser bem menor do que 10 dólares
    Um completo clown strike

  • Isso deveria ser uma pegadinha ou piada para fazer a CrowdStrike parecer ainda pior. Talvez por causa do preço das ações
    É difícil acreditar de imediato que uma empresa listada em bolsa, com tantos usuários, faria algo tão estúpido assim

  • Pensando em um desastre de marca da nossa época que chegue perto disso, talvez seja o vazamento de petróleo da Deepwater Horizon
    Na época, a BP basicamente abandonou sua marca de consumo nos EUA e transformou todos os postos BP na Arco, que era então sua subsidiária e marca de “baixa qualidade”. Depois, vendeu ou reduziu grandes partes do negócio para cobrir custos jurídicos
    Não sei que outras opções a CrowdStrike tem agora. A responsabilidade legal que a empresa terá de assumir será enorme, e a reputação da marca está em um estado pior do que sem valor

    • Há alguma base para essa responsabilidade legal que a CrowdStrike teria de assumir?
      Quanto à reputação, li esse tipo de comentário a cada incidente inconveniente que causou impacto econômico real, mas duvido que a CrowdStrike vá se tornar sem valor por causa disso
      A Microsoft não perdeu todo o valor depois do Code Red ou do Slammer, nem depois de várias invasões no fim dos anos 90 e início dos anos 2000; a Apple também não virou pó depois daquele iPhone em que era preciso segurar de um jeito específico para fazer ligações. A Toyota não perdeu todo o valor depois dos problemas de aceleração involuntária, o Facebook também não depois de quebrar a internet por um dia, a Amazon também não depois de uma falha na US-EAST estragar a tarde de todo mundo, e a Norfolk Southern também não depois do descarrilamento em East Palestine. E há inúmeros outros exemplos
      Este problema nem teve impacto tão grande quanto muitos desses casos. Alguns computadores ficaram fora do ar por algumas horas e geraram confusão. É preciso algo muito maior para destruir a reputação de uma empresa ou de uma marca. Basta ver quantas pessoas ainda escolhem a Comcast mesmo em lugares onde há concorrência com bons ISPs locais de fibra
    • Não acho que esse abandono da marca de consumo da BP nos EUA tenha durado muito
      Não me lembro de um período, nem durante nem depois daquele desastre, em que não houvesse postos BP