Ex-funcionários da CrowdStrike: "Controle de qualidade não fazia parte do processo."

 (semafor.com)
1 pontos por GN⁺ 2024-09-14 | 1 comentários | Compartilhar no WhatsApp
  • Engenheiros de software da CrowdStrike reclamaram por mais de um ano aos altos executivos da empresa sobre prazos encurtados, carga de trabalho excessiva e aumento de problemas técnicos
    • O engenheiro Jeff Gardner: "A velocidade era o mais importante, e o controle de qualidade não era prioridade"
    • Dos 24 ex-funcionários, 10 foram demitidos e 14 saíram voluntariamente
    • O ex-funcionário Joey Victorino rebateu, dizendo que a CrowdStrike tratava tudo com extremo cuidado
  • A CrowdStrike negou a maior parte da reportagem da Semafor e chamou as fontes de "ex-funcionários ressentidos"
    • A empresa afirma que trabalha para garantir a estabilidade dos produtos por meio de testes rigorosos e controle de qualidade
  • Fundada em 2011, a CrowdStrike cresceu rapidamente e se tornou líder do setor de cibersegurança após o lançamento do pacote antivírus Falcon em 2013
    • Após abrir capital em 2019, continuou em forte expansão, aumentou o número de funcionários e elevou a receita em mais de 1.000% até o fim do ano fiscal de 2024
  • Em julho, uma atualização de software defeituosa da CrowdStrike provocou a maior pane de TI da história
    • 8,5 milhões de computadores caíram, causando até US$ 5,4 bilhões em perdas para empresas da Fortune 500
    • Passageiros ficaram presos em aeroportos, contas de banco online ficaram inacessíveis e centrais de atendimento de emergência saíram do ar

Problemas apontados por ex-funcionários

  • Às vezes, as verificações de qualidade do software eram insuficientes para acelerar o lançamento de produtos
  • No departamento de serviços profissionais, houve três incidentes em que informações pessoais de clientes foram enviadas por engano para a pasta de outro cliente
  • Houve problemas no serviço Falcon LogScale
    • Em pelo menos duas ocasiões, alertas em tempo real sobre atividade maliciosa foram temporariamente desativados por causa de uma atualização incorreta
  • Em 2022, o lançamento do serviço de caça a ameaças em nuvem Falcon OverWatch Cloud Threat Hunting foi apressado
    • Engenheiros e threat hunters receberam a ordem de concluir em dois meses um trabalho que normalmente levaria um ano
    • No momento do lançamento, faltavam ferramentas internas usadas pelos threat hunters para monitorar completamente os sistemas em nuvem dos clientes

Resposta da CrowdStrike

  • A empresa reconheceu que usou engenheiros já existentes, mas explicou que, na época, o campo de "caçadores de ameaças em nuvem" ainda não existia, então era impossível contratar profissionais experientes
  • Afirmou que é falsa a alegação de que os funcionários não receberam treinamento para executar o trabalho, e disse que oferecia treinamento a quem quisesse
  • A linha de produtos OverWatch existe há mais de 10 anos e continua sendo aprimorada para acompanhar a evolução das ameaças e das demandas dos clientes

Leituras relacionadas

1 comentários

 
GN⁺ 2024-09-14
Comentários do Hacker News

  • O agente Falcon da CrowdStrike para Mac enviava todos os segredos em texto puro das variáveis de ambiente para um SIEM hospedado na nuvem

    • Era possível procurar credenciais do GitHub, AWS etc.
    • Isso afetava apenas a versão para Mac, e não havia como desativar ou corrigir esse comportamento
    • É muito provável que inúmeros segredos em texto puro de clientes tenham sido armazenados no SIEM

  • Jeff Gardner afirma que, na CrowdStrike, só a velocidade importava e o controle de qualidade não era considerado

    • É difícil confiar na opinião de um ex-funcionário demitido
    • Como esse funcionário era designer, é provável que ele não estivesse envolvido com controle de qualidade

  • Dos 24 ex-funcionários, 10 foram demitidos e 14 saíram voluntariamente

    • Alguns ex-funcionários apresentaram opiniões diferentes
    • Joey Victorino afirmou que a CrowdStrike era minuciosa em todo o trabalho

  • A opinião de Jeff Gardner vem da perspectiva de um designer de UX

    • É provável que não tenha relação com o processo de distribuição de patches de kernel

  • Infraestruturas críticas de software deveriam ser regulamentadas como infraestrutura física

    • Assim como prédios e pontes, o software também deve garantir confiabilidade por meio de regulação e inspeções

  • A equipe que implantou o agente da CrowdStrike teve problemas com logs

    • O daemon registra muitos logs, mas não há configuração para interromper ou reduzir isso

  • O problema cultural da CrowdStrike é semelhante ao da Knight Capital

    • Um pequeno problema cultural leva a uma disfunção em toda a empresa

  • Em desenvolvimento de software, muitas vezes falta controle de qualidade

    • Muitos projetos são lançados às pressas sem testes suficientes

  • Isso leva a refletir sobre a fronteira entre assumir riscos e buscar adrenalina

    • A partir de certo ponto, pode deixar de ser uma questão de preguiça ou disciplina e virar neurose ou vício

  • A CrowdStrike rebateu a reportagem da Semafor

    • Ex-funcionários insatisfeitos podem fazer a empresa parecer pior do que é
    • Ainda assim, a credibilidade da CrowdStrike é muito baixa

  • Mesmo depois de ocorrer o pior cenário, as ações da CrowdStrike continuam subindo

    • Apresentando desempenho superior ao S&P 500