1 pontos por GN⁺ 2024-08-07 | 1 comentários | Compartilhar no WhatsApp
  • Após a grande falha de TI, o consultor de TI David Senk criou o ClownStrike, um site que transformava o logotipo da CrowdStrike em uma paródia de palhaço, e a tentativa de removê-lo gerou controvérsia por supostamente mirar uma expressão protegida por uso justo
  • A representante da CrowdStrike, CSC Digital Brand Services, exigiu da Cloudflare a remoção do logotipo, e a Cloudflare alertou para a possibilidade de bloqueio do site inteiro em caso de descumprimento
  • A CrowdStrike explicou que, nas duas semanas recentes, enviou mais de 500 pedidos de remoção para responder a sites maliciosos e phishing, e que o site de paródia não era o alvo pretendido, mas Senk rebateu dizendo que sofreu prejuízo real
  • Corynne McSherry, da EFF, considera inadequado usar a DMCA em disputas de marca registrada e defende que a análise de uso justo deve vir primeiro
  • O caso mostra que, quanto mais frouxo for o processo de tratamento de denúncias por grandes provedores de serviço, maior o risco de que expressões online legais como crítica e sátira desapareçam justamente no momento mais importante

Como surgiu o ClownStrike

  • David Senk criou o ClownStrike depois que a CrowdStrike foi apontada como causa da falha global de TI por causa de uma atualização de segurança problemática
  • A falha causou uma longa desordem em aeroportos, hospitais e sistemas corporativos
  • Senk não foi uma vítima direta, mas defende a descentralização, argumentando que a centralização no setor de tecnologia pode gerar grandes danos colaterais
  • O site, lançado em 24 de julho, tinha uma estrutura simples: o logotipo da CrowdStrike foi trocado por um palhaço de desenho animado, e uma música de circo tocava durante a transição
    • Nas primeiras 48 horas, usou sem alterações o logotipo do Falcon, a plataforma de cibersegurança da CrowdStrike
    • Depois, adicionou um chapéu com hélice colorido à cabeça do Falcon
  • Senk disse que inicialmente colocou o site no ar “só de brincadeira” e que gosta de sites antigos de paródia

Pedido de remoção por DMCA e resposta da Cloudflare

  • Em 31 de julho, Senk recebeu da equipe de confiança e segurança da Cloudflare, então hospedeira do site, uma notificação de remoção por DMCA
  • A notificação dizia que a equipe global antifraude da CSC Digital Brand Services, representando a CrowdStrike, exigia a remoção imediata do logotipo da CrowdStrike do ClownStrike
  • A Cloudflare alertou que, se o logotipo não fosse removido, o site inteiro poderia sair do ar
  • Senk entendeu que o site era uma paródia evidente e que, independentemente de alterações no logotipo, se enquadrava em uso justo, então enviou imediatamente uma contranotificação
  • A Cloudflare não confirmou o recebimento nem respondeu à contranotificação, e depois voltou a enviar um e-mail de alerta sobre suspeita de infração
  • Senk migrou o site para um lugar menos vulnerável a pedidos de remoção por DMCA e, no fim, passou a usar servidores da Hetzner, na Finlândia

Explicação da CrowdStrike e resposta de Senk

  • A CrowdStrike se recusou a comentar diretamente o pedido de remoção do ClownStrike em si
  • Ainda assim, afirmou que, nas duas semanas recentes, seus parceiros antifraude enviaram mais de 500 notificações de remoção para impedir ações maliciosas que exploravam o “incidente atual”
    • O objetivo, segundo a empresa, era proteger clientes e o setor contra sites de phishing e atividades maliciosas
    • Afirmou que sites de paródia não eram o alvo pretendido, mas que poderiam ser afetados inadvertidamente
    • A CrowdStrike disse que revisará o processo e melhorará as ações antifraude quando apropriado
  • Senk criticou a resposta como uma reação corporativa típica que “não assume responsabilidade nenhuma”
  • Independentemente da explicação de que o site de paródia não era o alvo pretendido, ele enfatizou que seu site foi de fato afetado
  • No site do ClownStrike, ao clicar no logotipo da CSC com uma peruca de palhaço, é possível ver a crítica de Senk às tentativas da empresa de derrubar conteúdos dos quais discorda

Uso justo e expressão paródica

  • Corynne McSherry, diretora jurídica da EFF, considera que até mesmo o uso de um logotipo sem alterações pode se enquadrar em uso justo
  • Ela afirma que, quando o uso do logotipo é claramente uma paródia, há muitos casos em que isso é legal, algo já confirmado pelos tribunais
  • Como o uso justo é, por definição, legal, a posição dela é que a CrowdStrike deveria ter considerado essa possibilidade antes de alegar que o uso era ilícito
  • Senk sustenta que seu site é uma paródia que qualquer pessoa razoável reconheceria claramente, e que não envolve uso comercial, venda de produtos nem geração de receita
  • McSherry entende que mirar sites maliciosos e de phishing pode ser justificável, mas derrubar fala legal é algo difícil de aceitar

Posição posterior da Cloudflare e falhas processuais

  • A Cloudflare não respondeu a vários pedidos de comentário, mas depois enviou uma mensagem a Senk
  • A Cloudflare afirmou que não recebeu a contranotificação de Senk, o que é problemático porque o prazo para contestar a notificação de remoção é limitado a 72 horas
  • Quando a notícia do pedido de remoção relacionado ao ClownStrike se espalhou online, o tráfego do site saltou de algumas centenas de visualizações para mais de 80 mil visitantes únicos
  • A Cloudflare declarou, em resposta a reportagens públicas, que entendeu que Senk poderia apresentar uma contestação legítima com base no caráter paródico do site
  • Disse também que, se Senk voltar a hospedar o site na Cloudflare e apresentar uma contranotificação válida sobre a natureza paródica do conteúdo, não adotará medidas de remoção com base apenas em denúncias de abuso de marca registrada
  • Senk afirmou que não pretende levar o ClownStrike de volta para a Cloudflare
    • Confirmação de recebimento de contranotificações
    • Um portal web para rastrear denúncias abusivas
    • Revogação da autoridade de denúncia da CSC, que enviou o pedido de remoção indevido
    • Esses três pontos foram propostos por ele à Cloudflare

O risco de remoções excessivas criado por grandes plataformas

  • McSherry avalia que grandes provedores de serviço como a Cloudflare podem se tornar um gargalo para conteúdos online
  • Quando a plataforma cresce demais e o volume de denúncias aumenta, torna-se difícil fazer um tratamento preciso, independentemente da intenção, e falas legais podem acabar sendo removidas
  • Ela aponta que a situação em que poucas grandes empresas têm influência excessiva sobre o conteúdo que pode ser visto online pode gerar problemas reais
  • O pedido de remoção da CrowdStrike ocorreu justamente quando o ClownStrike era mais relevante como comentário sobre as consequências da falha de TI
  • O período de até duas semanas para restauração após uma contranotificação por DMCA pode fazer um site de paródia parecer fora do ar justamente no auge das críticas
  • McSherry avaliou o caso como um exemplo de grandes empresas usando grandes procedimentos sem cuidado suficiente, algo que considera inaceitável
  • Na visão dela, o processo de tratamento de abusos da Cloudflare deve considerar claramente o uso justo e, especialmente na expressão online, a manutenção de fala legal deve ser o padrão

A fronteira entre DMCA e disputas de marca registrada

  • McSherry apontou como principal problema no fato de a CrowdStrike ter mirado “de forma descuidada” um site de paródia o fato de que a DMCA não é um procedimento para disputas de infração de marca registrada
  • A DMCA é amplamente usada por ser um meio fácil de remover conteúdo rapidamente, mas originalmente não é um procedimento adequado para reclamações de marca registrada
  • Segundo ela, a explicação de que tudo foi feito de forma descuidada também significa que não houve cautela suficiente antes de usar esse procedimento
  • Senk disse que não pretende tomar medidas legais contra a CrowdStrike em relação à notificação indevida de remoção
  • Ele afirmou que ficaria 100% satisfeito se a CrowdStrike pedisse desculpas publicamente, e brincou que seria ainda melhor se o CEO da CrowdStrike, George Kurtz, gravasse um vídeo de desculpas vestido de palhaço

1 comentários

 
GN⁺ 2024-08-07
Opiniões no Hacker News
  • Criei um site há cerca de 20 anos, e hoje ele está em https://whatisbifidusregularis.org/. Na época, recebi ameaças de processo da Dannon / Danone e tive de entregar o primeiro domínio por causa de marca registrada, mas antes disso configurei um redirecionamento 301 para que o Google acompanhasse a mudança
    Eram tempos mais inocentes, antes da DMCA, quando as empresas ainda não sabiam muito bem como contatar ISPs sem advogados para mandar bloquear alguma coisa, e eu me diverti bastante em uma longa troca de e-mails com o advogado da Danone, provavelmente caríssimo
    Originalmente, eu estava tão irritado com o ridículo de eles chamarem sua bactéria incrível de “Bifidus Digestivum” nos anúncios que criei um site em bifidusdigestivum.com e pesquisei o máximo possível para escrever textos bem otimizados para busca, de modo que quem pesquisasse encontrasse o meu site. Desde então, ele teve cerca de 1,5 milhão de visualizações e ainda recebe de 400 a 500 visitas por mês, o que me faz rir quando lembro de vez em quando

    • A seção de comentários tem um forte cheiro de astroturfing, especialmente pelo modo como começa e para de repente por volta de 2014
      Mas os comentários negativos também pararam junto, então talvez há 10 anos as pessoas fossem mais apaixonadas por iogurte
  • Senk sentiu de imediato que o pedido de remoção era absurdo e achou que, como o site era claramente uma paródia, o uso modificado do logotipo da CrowdStrike deveria ser uso justo. Ele contestou imediatamente junto à Cloudflare, mas a Cloudflare nem sequer confirmou o recebimento da contranotificação e apenas enviou um segundo e-mail de aviso de infração
    Em geral gosto da Cloudflare e a considero um bom player, mas isso precisa ser corrigido. O sistema da DMCA já é inclinado contra o lado pequeno, e o mínimo que uma hospedagem como a Cloudflare deve fazer é ouvir os dois lados. Idealmente, deveria ser uma mediadora neutra
    Uso bastante a Cloudflare e gasto uma boa quantia todo mês, mas isso me faz hesitar sobre hospedar conteúdo de fato na CF. Nunca recebi pessoalmente uma solicitação de remoção por DMCA, mas conheço pessoas cujo processo foi abusado, e isso pode acontecer com qualquer um
    Espero que a Cloudflare não se torne parte do problema. Há muito tempo ela defende uma web mais aberta, uma web em que indivíduos pequenos também possam operar, e foi uma das melhores empresas em viabilizar esses criadores; portanto, não deveria ajudar nem viabilizar valentões da DMCA

    • É engraçado como as empresas encaminham muito rapidamente notificações de remoção de outras empresas, mas enrolam ou “esquecem” de encaminhar contranotificações, embora ambas sejam exigidas pela DMCA
      Também nunca vi, até onde sei, uma empresa ser processada criminalmente por enviar uma falsa notificação de remoção por DMCA, provavelmente porque seria preciso provar a intenção. A lei é ridiculamente desfavorável ao lado pequeno
    • Não entendo em que sentido a Cloudflare teria sido uma defensora da web aberta. Desde que comecei a prestar atenção, a Cloudflare sempre foi uma ameaça à web aberta
    • A Cloudflare abandonou a neutralidade quando derrubou o Daily Stormer. Antes disso, havia até discussões sobre se ela teria capacidade técnica para derrubar um site individual, já que dizia ser difícil remover conteúdo de armazenamento distribuído
      Quanto mais ações políticas ela tomar, maior será o prejuízo para a Cloudflare
    • Quando tentei derrubar um site fraudulento clonado usando um domínio “.shop”, a Cloudflare foi completamente inútil, e no fim tive de ir diretamente ao registrador para conseguir a remoção
      Além disso, as repetidas exigências de CAPTCHA da Cloudflare são extremamente irritantes, e essa prática deveria ser chamada de uma forma de abuso
  • Fico me perguntando se dá para aprender direito de forma barata o bastante para lutar contra notificações DMCA fajutas. No mundo da emulação, é comum ver projetos fecharem no fim porque as pessoas que os hospedam sabem que vão falir com os custos de defesa, mesmo que o produto em si seja tecnicamente legal
    Seria bom poder virar o jogo e dizer a lugares como a N: “Beleza, vamos em frente. Queimem montanhas de dinheiro com o departamento jurídico”

    • É possível, mas a maior desvantagem é que, para contestar legalmente um DMCA falso, você precisa divulgar suas informações pessoais ao denunciante
      Se sua identidade já é pública, depois de aprender o procedimento não há muita desvantagem
    • Para contestar legalmente, na prática você precisa se identificar, e mesmo fazendo tudo por conta própria há custos
      A lei é, por natureza, favorável às empresas. Pessoas comuns nos EUA não têm nem advogado, muito menos departamento jurídico, enquanto empresas têm recursos praticamente infinitos para arrastar o processo de comprovação, mesmo estando erradas, até a outra parte desistir ou ficar sem dinheiro
      Como diz o autor do texto, boa parte do sistema jurídico dos EUA foi desenhada de forma bem descarada para as empresas
    • Neste caso, válida ou não a notificação DMCA, parece que a CrowdStrike conseguiu derrubar o site via Cloudflare sem processo legal porque a Cloudflare não ajudou
      Se o ClownStrike não tivesse virado notícia, talvez a CrowdStrike tivesse continuado tentando o mesmo truque de DMCA também com a Hetzner
    • Não há grande diferença. O provedor de hospedagem ou é um guerreiro ideológico da liberdade de expressão que não liga nem um pouco para DMCA, ou se importa com remoções, mas não com restaurações
      O primeiro caso seria algo como a njalla, por exemplo, e custa de 5 a 10 vezes mais, então normalmente não é usado; Hetzner e Cloudflare, que são muito usados na prática, ficam mais perto do segundo caso
    • Enviar uma contranotificação DMCA ao provedor de serviço em si não é difícil [1]
      Para ser válida, ela precisa da assinatura física ou eletrônica do assinante, identificação do material removido ou cujo acesso foi bloqueado e sua localização anterior, uma declaração sob pena de perjúrio de crença de boa-fé de que o material foi removido por engano ou identificação incorreta, nome, endereço e telefone, além de declaração de consentimento à jurisdição do tribunal federal competente e aceitação de citação
      Porém, para o provedor de serviço se enquadrar no porto seguro da DMCA, ele precisa manter o conteúdo fora do ar por no mínimo 10 dias e no máximo 14 dias após receber a contranotificação. Se o notificante original enviar uma nova notificação dizendo que entrou com ação relacionada à infração, o conteúdo continua fora do ar até o caso ser resolvido
      Em muitos casos, uma interrupção de 10 a 14 dias já é tempo demais, e talvez você não queira entregar informações de identidade ao denunciante ou ao provedor. Também pode ser pesado fazer uma declaração de crença de boa-fé sob pena de perjúrio
      Se o notificante original estiver disposto a ir ao tribunal, vem uma grande dor de cabeça; se ele só dispara DMCAs em massa e não toma nenhuma providência depois, pode ficar tudo bem. Por outro lado, se eu tentar levá-lo ao tribunal, também será uma dor de cabeça
      Também dá para tentar convencer o provedor de que a notificação original não é, estruturalmente, uma notificação DMCA válida, mas para isso é preciso ter um provedor cooperativo. Neste caso, pelo resumo, parece um possível exemplo de alegação de violação de marca registrada feita via DMCA; como a DMCA não trata de marcas registradas, ela não é estruturalmente válida. O provedor não tem obrigação de processá-la e tampouco ganha imunidade por processá-la. Pode haver obrigação de agir diante de uma reclamação de marca registrada, mas essa obrigação não nasce da DMCA
      [1] https://www.law.cornell.edu/uscode/text/17/512 seção (g)(3)
  • Todo oficial do tribunal que assina uma notificação DMCA fajuta viola seu juramento e fica sujeito a medidas disciplinares. Em alguns estados, isso também parece configurar o ilícito civil chamado barratry

    • Não vejo por que uma notificação DMCA precisaria de um oficial do tribunal
    • Pelo menos em Illinois, barratry é crime
    • É interessante, mas não sei se alguém consegue citar sequer um caso em que um abusador que enviou uma notificação DMCA fajuta tenha sofrido uma punição realmente significativa
  • Normalmente, esse tipo de discussão acaba indo para o lado de que o provedor de hospedagem tem obrigação legal de responder a pedidos de remoção DMCA o mais rápido possível, então parem de ficar indignados
    Mas, desta vez, a Cloudflare afirmou não ter recebido as duas contranotificações enviadas pelo operador do site de paródia e, depois que ele migrou o serviço e surgiu atenção negativa, respondeu de forma fraca, algo próximo de “teríamos ajudado”. Pisou feio na bola

  • Tentar aplicar direitos de marca registrada por meio do Digital Millennium Copyright Act é absurdo, e pelas respostas parece que usaram o mesmo expediente contra outros 500 sites sem nenhuma sanção
    Odeio ver empresas observando a reação a pedidos de remoção DMCA e tentando empurrar tudo como pedido de remoção DMCA. Já era ruim o bastante quando isso era usado para contornar as regras de anticircunvenção; marca registrada pertence a um conjunto de leis completamente diferente

    • Pedidos DMCA sem fundamento não são crime?
  • Não entendo por que empresas precisam aprender na prática o que é o efeito Streisand
    Esse site de paródia de baixo esforço provavelmente passaria despercebido para mim e, mesmo que eu o conhecesse, eu não o compartilharia por causa da baixa qualidade
    Mas agora fiquei 100% interessado em apoiar e divulgar o site, porque claramente parece que tocou num ponto sensível

  • A discussão na época tinha 1221 pontos e 229 comentários, considerando 5 dias antes https://news.ycombinator.com/item?id=41133917

  • A frase “[Senk] told Ars he is "a proponent of decentralization."” soa engraçada porque fala de alguém que colocou o site na Cloudflare

    • Não dá para ser ideologicamente perfeito em todas as decisões. Vivemos em um mundo bagunçado
      Neste caso, dá para entender se ele queria usar tecnologia existente para colocar o site no ar de forma rápida e confiável, ou se realmente acreditava que a Cloudflare defenderia fortemente seu site com base no histórico da empresa
    • Apoiar uma ideia não significa que você precise se comprometer pessoalmente com ela de forma total. Quem apoia a descentralização precisa viver fora da rede elétrica e minerar o próprio silício para construir um computador?
  • O trecho “Apparently, Cloudflare never received” é um problema muito maior do que qualquer outra coisa em torno deste caso