- Sau sự cố CNTT diện rộng, ClownStrike do tư vấn CNTT David Senk tạo ra là một trang web biến logo CrowdStrike thành hình nhại chú hề, và vụ việc nhanh chóng lan thành tranh cãi rằng yêu cầu gỡ bỏ đã nhắm vào một hình thức biểu đạt được bảo vệ bởi sử dụng hợp lý
- CSC Digital Brand Services, đại diện của CrowdStrike, đã yêu cầu Cloudflare gỡ logo, và Cloudflare cảnh báo có thể chặn toàn bộ trang web nếu không thực hiện
- CrowdStrike giải thích rằng trong 2 tuần gần đây họ đã gửi hơn 500 yêu cầu gỡ bỏ để ứng phó với các trang độc hại và lừa đảo, và trang nhại không phải mục tiêu dự kiến; tuy vậy, Senk phản bác rằng ông đã thực sự bị ảnh hưởng
- Corynne McSherry của EFF cho rằng việc dùng DMCA cho tranh chấp nhãn hiệu là không phù hợp, và cần xem xét trước liệu đây có phải là sử dụng hợp lý hay không
- Vụ việc cho thấy khi quy trình xử lý báo cáo của các nhà cung cấp dịch vụ lớn càng lỏng lẻo, biểu đạt trực tuyến hợp pháp như chỉ trích và châm biếm có thể biến mất đúng vào thời điểm quan trọng nhất
Bối cảnh ra đời của ClownStrike
- David Senk tạo ClownStrike sau khi CrowdStrike bị chỉ ra là nguyên nhân gây ra sự cố CNTT toàn cầu vì một bản cập nhật bảo mật có vấn đề
- Sự cố này đã gây hỗn loạn kéo dài cho sân bay, bệnh viện và hệ thống doanh nghiệp
- Dù không phải nạn nhân trực tiếp, Senk ủng hộ phi tập trung hóa, cho rằng sự tập trung hóa trong ngành công nghệ có thể gây ra thiệt hại phụ rất lớn
- Trang web công bố ngày 24/7 có cấu trúc đơn giản: logo CrowdStrike được thay bằng một chú hề hoạt hình, và nhạc xiếc phát lên trong lúc chuyển cảnh
- Trong 48 giờ đầu, trang dùng nguyên trạng logo Falcon của nền tảng an ninh mạng CrowdStrike
- Sau đó, ông thêm một chiếc mũ cánh quạt cầu vồng lên đầu Falcon
- Senk nói ban đầu ông đưa trang lên “chỉ để đùa vui”, và cho biết mình thích các trang nhại kiểu cũ
Yêu cầu gỡ bỏ DMCA và phản ứng của Cloudflare
- Ngày 31/7, Senk nhận được thông báo gỡ bỏ DMCA từ đội Trust & Safety của Cloudflare, nơi khi đó đang lưu trữ trang web
- Thông báo cho biết đội chống gian lận toàn cầu của CSC Digital Brand Services, đại diện cho CrowdStrike, yêu cầu gỡ ngay logo CrowdStrike khỏi ClownStrike
- Cloudflare cảnh báo rằng nếu logo không bị gỡ, toàn bộ trang web có thể bị hạ xuống
- Senk cho rằng trang web rõ ràng là một bản nhại, và dù có thay đổi logo hay không thì vẫn thuộc sử dụng hợp lý, nên đã lập tức gửi thông báo phản đối
- Cloudflare không xác nhận đã nhận được phản đối cũng không trả lời, rồi sau đó lại gửi thêm email cảnh báo nghi ngờ vi phạm
- Senk đã chuyển trang sang nơi ít dễ bị tác động bởi yêu cầu gỡ bỏ DMCA hơn, và cuối cùng dùng máy chủ Hetzner tại Phần Lan
Giải thích của CrowdStrike và phản bác của Senk
- CrowdStrike từ chối bình luận trực tiếp về chính yêu cầu gỡ ClownStrike
- Tuy nhiên, công ty cho biết trong 2 tuần gần đây, để ngăn chặn hành vi độc hại lợi dụng “sự kiện hiện tại”, các đối tác chống gian lận đã gửi hơn 500 thông báo gỡ bỏ
- Mục tiêu là bảo vệ khách hàng và toàn ngành khỏi các trang lừa đảo và hoạt động độc hại
- Công ty giải thích rằng các trang nhại không phải mục tiêu dự kiến, nhưng những trang như vậy có thể bị ảnh hưởng do sơ suất
- CrowdStrike nói sẽ rà soát quy trình và cải thiện hoạt động chống gian lận khi phù hợp
- Senk chỉ trích đây là kiểu phản hồi doanh nghiệp “không hề nhận trách nhiệm”
- Bất kể lời giải thích rằng trang nhại không phải mục tiêu dự kiến, ông nhấn mạnh rằng trang của mình đã thực sự bị ảnh hưởng
- Trên trang ClownStrike, khi bấm vào logo CSC đội tóc giả chú hề, người dùng có thể thấy lời chỉ trích của Senk rằng công ty đang cố gỡ bỏ nội dung mà họ không đồng ý
Sử dụng hợp lý và biểu đạt nhại
- Corynne McSherry, giám đốc pháp lý của EFF, cho rằng ngay cả việc dùng logo không chỉnh sửa cũng có thể là sử dụng hợp lý
- Bà nói rằng nếu việc dùng logo mang tính nhại rõ ràng thì hoàn toàn có nhiều trường hợp là hợp pháp, và tòa án cũng đã xác nhận điều này
- Vì sử dụng hợp lý, theo định nghĩa, là hợp pháp, CrowdStrike lẽ ra phải cân nhắc khả năng đó trước khi cho rằng việc sử dụng là bất hợp pháp
- Senk khẳng định trang của mình là một bản nhại mà người hợp lý có thể nhận ra rõ ràng, và không có mục đích thương mại, không bán sản phẩm, không tạo doanh thu
- McSherry cho rằng việc CrowdStrike nhắm vào các trang độc hại và lừa đảo có thể là chính đáng, nhưng việc gỡ bỏ phát ngôn hợp pháp thì khó có thể chấp nhận
Lập trường tiếp theo của Cloudflare và lỗ hổng quy trình
- Cloudflare không phản hồi nhiều lần đề nghị bình luận, nhưng sau đó đã gửi tin nhắn cho Senk
- Cloudflare cho biết họ không nhận được thông báo phản đối của Senk, điều này càng có vấn đề vì thời gian để phản đối thông báo gỡ chỉ bị giới hạn trong 72 giờ
- Khi tin tức về yêu cầu gỡ bỏ liên quan đến ClownStrike lan truyền trên mạng, lưu lượng truy cập của trang tăng từ vài trăm lượt xem lên hơn 80.000 khách truy cập duy nhất
- Cloudflare cho biết qua các bản tin công khai họ đã hiểu rằng Senk có thể đưa ra phản đối chính đáng dựa trên tính chất nhại của trang web
- Nếu Senk quay lại dùng dịch vụ lưu trữ của Cloudflare và cung cấp một thông báo phản đối hợp lệ về tính chất nhại, Cloudflare nói họ sẽ không gỡ nội dung chỉ dựa trên báo cáo lạm dụng nhãn hiệu
- Senk cho biết ông không có kế hoạch đưa ClownStrike trở lại Cloudflare
- Chức năng xác nhận đã nhận thông báo phản đối
- Cổng web để theo dõi các báo cáo lạm dụng
- Thu hồi quyền gửi báo cáo của CSC, bên đã gửi yêu cầu gỡ bỏ vô lý
- Ông đã đề xuất ba điều trên với Cloudflare
Nguy cơ gỡ bỏ quá mức do các nền tảng lớn tạo ra
- McSherry cho rằng các nhà cung cấp dịch vụ lớn như Cloudflare có thể trở thành điểm nghẽn của nội dung trực tuyến
- Khi nền tảng quá lớn và số lượng báo cáo quá nhiều, việc xử lý chính xác trở nên khó khăn bất kể ý định, và phát ngôn hợp pháp có thể bị gỡ xuống
- Bà chỉ ra rằng việc chỉ một số ít tập đoàn lớn nắm ảnh hưởng quá mức đối với nội dung có thể xem trên Internet có thể tạo ra vấn đề thực sự
- Yêu cầu gỡ bỏ của CrowdStrike xuất hiện đúng lúc ClownStrike có tính liên quan cao nhất như một lời bình luận về dư chấn của sự cố CNTT
- Khoảng thời gian 2 tuần có thể cần để khôi phục sau một thông báo phản đối DMCA có thể khiến trang nhại biến mất đúng lúc chỉ trích đang mạnh nhất
- McSherry đánh giá đây là trường hợp các công ty lớn dùng các quy trình lớn nhưng không đủ cẩn trọng, và điều đó là không thể chấp nhận
- Theo bà, quy trình xử lý lạm dụng của Cloudflare cần xem xét rõ ràng yếu tố sử dụng hợp lý, và đặc biệt với biểu đạt trực tuyến, mặc định phải là duy trì phát ngôn hợp pháp
Ranh giới giữa DMCA và tranh chấp nhãn hiệu
- McSherry chỉ ra vấn đề lớn nhất trong việc CrowdStrike “vô tình” nhắm vào trang nhại là DMCA không phải quy trình dành cho tranh chấp vi phạm nhãn hiệu
- DMCA được dùng rộng rãi vì là công cụ dễ gỡ nội dung nhanh, nhưng vốn dĩ không phải thủ tục phù hợp cho khiếu nại về nhãn hiệu
- Bà nói rằng lời giải thích do sơ suất cũng đồng nghĩa với việc họ đã không đủ cẩn trọng trước khi sử dụng quy trình này
- Senk cho biết ông không có kế hoạch khởi kiện CrowdStrike liên quan đến thông báo gỡ bỏ vô lý này
- Ông nói sẽ hài lòng 100% nếu CrowdStrike công khai xin lỗi, và đùa rằng sẽ còn tốt hơn nếu CEO CrowdStrike là George Kurtz mặc đồ chú hề rồi quay video xin lỗi
1 bình luận
Ý kiến trên Hacker News
Tôi đã tạo một trang web khoảng 20 năm trước, hiện ở https://whatisbifidusregularis.org/. Khi đó tôi bị Dannon / Danone đe dọa kiện; tên miền đầu tiên phải chuyển giao vì vấn đề nhãn hiệu, nhưng trước đó tôi đã thiết lập chuyển hướng 301 để Google kịp theo dõi thay đổi
Đó là thời kỳ ngây thơ hơn trước DMCA, khi các công ty chưa thực sự biết cách liên hệ ISP để chặn thứ gì đó mà không cần luật sư, và tôi đã tận hưởng một chuỗi email qua lại khá dài với vị luật sư có lẽ rất đắt đỏ của Danone
Ban đầu, vì thấy quá buồn cười đến mức khó chịu khi trong quảng cáo họ gọi loại vi khuẩn tuyệt vời của mình là “Bifidus Digestivum”, tôi đã lập trang ở bifidusdigestivum.com, nghiên cứu nhiều nhất có thể và viết nội dung sao cho tối ưu tìm kiếm tốt, để người tìm kiếm sẽ thấy trang của tôi. Kể từ đó lượt xem vào khoảng 1,5 triệu, và đến nay vẫn có 400–500 lượt truy cập mỗi tháng, nghĩ lại thỉnh thoảng tôi vẫn bật cười
Tuy nhiên, các bình luận tiêu cực cũng dừng cùng lúc, nên có lẽ 10 năm trước mọi người đam mê sữa chua hơn chăng
Senk lập tức cảm thấy yêu cầu gỡ bỏ là vô lý, và cho rằng vì trang web rõ ràng là một tác phẩm nhại, việc dùng biến thể logo CrowdStrike cũng phải là sử dụng hợp lý. Anh đã lập tức gửi phản đối lên Cloudflare, nhưng Cloudflare thậm chí không xác nhận đã nhận thông báo phản đối, mà chỉ gửi email cảnh báo vi phạm thứ hai
Nhìn chung tôi thích Cloudflare và nghĩ họ là một bên tốt, nhưng việc này nhất định phải được sửa. Cơ chế DMCA vốn đã nghiêng bất lợi cho bên nhỏ hơn, và điều tối thiểu mà một nhà cung cấp hosting như Cloudflare phải làm là lắng nghe cả hai phía. Lý tưởng nhất là họ nên là một bên trung gian trung lập
Tôi dùng Cloudflare rất nhiều và chi khá nhiều mỗi tháng, nhưng việc này khiến tôi do dự không biết có nên lưu trữ nội dung thật sự trên CF hay không. Tôi chưa từng trực tiếp bị yêu cầu gỡ bỏ theo DMCA, nhưng tôi biết những người đã bị quy trình đó lạm dụng, và chuyện này có thể xảy ra với bất kỳ ai
Tôi không muốn Cloudflare trở thành một phần của vấn đề. Họ từ lâu đã ủng hộ một web cởi mở hơn, một web mà cả các cá nhân nhỏ lẻ cũng có thể vận hành, và gần như là một trong những công ty tốt nhất giúp các nhà sáng tạo như vậy tồn tại, nên họ không nên giúp đỡ hay tạo điều kiện cho những kẻ bắt nạt bằng DMCA
Ngoài ra, theo hiểu biết của tôi, tôi chưa từng thấy công ty nào bị truy tố hình sự vì gửi thông báo gỡ bỏ DMCA sai sự thật, có lẽ vì phải chứng minh ý định. Luật pháp nghiêng về phía bất lợi cho bên nhỏ hơn đến mức nực cười
Cloudflare càng có nhiều hành động chính trị thì càng gây thiệt hại lớn hơn cho chính họ
Thêm nữa, các yêu cầu CAPTCHA lặp đi lặp lại của Cloudflare cực kỳ khó chịu, và kiểu thực hành này nên được gọi là một dạng lạm dụng
Tôi tự hỏi liệu có thể học luật với chi phí đủ rẻ để chống lại các thông báo DMCA nhảm nhí hay không. Trong mảng giả lập, dù bản thân sản phẩm về mặt kỹ thuật là hợp pháp, vẫn thường thấy các dự án cuối cùng phải đóng cửa vì những người lưu trữ dự án biết họ sẽ phá sản do chi phí tự vệ
Giá mà có thể lật ngược thế cờ và nói với những nơi như N rằng: “Được thôi, cứ tiếp tục đi. Hãy đốt một núi tiền vào đội pháp lý của các anh đi”
Nếu danh tính của bạn đã công khai rồi thì sau khi học quy trình, gần như không còn nhược điểm nào đáng kể
Luật về bản chất có lợi cho doanh nghiệp. Người bình thường ở Mỹ không có luật sư chứ đừng nói đến đội pháp lý, còn doanh nghiệp thì dù sai vẫn có nguồn lực gần như vô hạn để kéo dài quá trình chứng minh cho đến khi đối phương bỏ cuộc hoặc cạn tiền
Như tác giả bài viết nói, một phần đáng kể của hệ thống pháp luật Mỹ được thiết kế khá trắng trợn vì doanh nghiệp
Nếu ClownStrike không trở thành tin tức, có lẽ CrowdStrike cũng đã tiếp tục thử cùng mánh DMCA đó với Hetzner
Nhóm trước chẳng hạn như njalla, chi phí cao gấp 5–10 lần nên thường không được dùng; còn những nơi được dùng nhiều trong thực tế như Hetzner hay Cloudflare thì gần với nhóm sau hơn
Để hợp lệ, cần có chữ ký vật lý hoặc điện tử của người đăng ký, tài liệu đã bị gỡ hoặc bị chặn truy cập và vị trí trước đó của nó, tuyên bố dưới điều kiện chịu phạt về tội khai man rằng có niềm tin thiện chí rằng nội dung đã bị gỡ do nhầm lẫn hoặc nhận định sai, tên·địa chỉ·số điện thoại, cùng tuyên bố đồng ý thẩm quyền của tòa án liên bang có thẩm quyền và chấp nhận việc tống đạt
Tuy nhiên, để nhà cung cấp dịch vụ được hưởng điều khoản miễn trừ trách nhiệm của DMCA, sau khi nhận thông báo phản đối họ phải giữ nội dung ở trạng thái bị gỡ tối thiểu 10 ngày và tối đa 14 ngày. Nếu bên gửi thông báo ban đầu gửi thêm thông báo rằng họ đã khởi kiện liên quan đến hành vi xâm phạm, nội dung sẽ tiếp tục bị gỡ cho đến khi vụ việc được giải quyết
Trong nhiều trường hợp, việc gián đoạn 10–14 ngày cũng đã là quá dài, và bạn có thể không muốn cung cấp thông tin danh tính cho bên khiếu nại hoặc nhà cung cấp. Việc tuyên bố niềm tin thiện chí dưới điều kiện chịu phạt về tội khai man cũng có thể là gánh nặng
Nếu bên gửi thông báo ban đầu quyết đưa ra tòa thì sẽ rất vất vả; còn nếu họ chỉ gửi DMCA hàng loạt rồi không có hành động tiếp theo thì có thể ổn. Ngược lại, nếu tôi cố kéo họ ra tòa thì cũng vẫn là một con đường gian nan
Cũng có thể thuyết phục nhà cung cấp rằng thông báo ban đầu về mặt cấu trúc không phải là một thông báo DMCA hợp lệ, nhưng để làm vậy cần một nhà cung cấp hợp tác. Nếu chỉ nhìn phần tóm tắt, vụ này là một ví dụ tiềm tàng về việc nêu vi phạm nhãn hiệu bằng DMCA; nhưng DMCA không xử lý nhãn hiệu, nên về cấu trúc là không hợp lệ. Nhà cung cấp không có nghĩa vụ xử lý việc đó, và dù xử lý cũng không được miễn trừ trách nhiệm. Họ có thể có nghĩa vụ hành động đối với khiếu nại về nhãn hiệu, nhưng đó không phải là nghĩa vụ phát sinh từ DMCA
[1] https://www.law.cornell.edu/uscode/text/17/512 mục (g)(3)
Mọi viên chức tòa án ký vào một thông báo DMCA nhảm nhí đều vi phạm lời tuyên thệ và có thể bị kỷ luật. Ở một số bang, có vẻ việc này còn cấu thành hành vi dân sự bất hợp pháp gọi là barratry
Thường thì những câu chuyện kiểu này sẽ đi theo hướng rằng nhà cung cấp hosting có nghĩa vụ pháp lý phải phản hồi yêu cầu gỡ theo DMCA càng nhanh càng tốt, nên đừng phẫn nộ nữa
Nhưng lần này Cloudflare tuyên bố họ không nhận được 2 thông báo phản đối do người vận hành trang parody gửi, và sau khi anh ta chuyển dịch vụ rồi sự chú ý tiêu cực xuất hiện, họ gửi một phản hồi yếu ớt kiểu “đáng ra chúng tôi đã giúp”. Họ đã làm hỏng chuyện một cách hoàn toàn nghiêm trọng
Cố dùng Digital Millennium Copyright Act để thực thi quyền nhãn hiệu là chuyện lố bịch, và nhìn vào câu trả lời thì có vẻ họ đã dùng cùng chiêu đó với 500 website khác mà không bị chế tài gì
Tôi ghét việc các công ty nhìn vào phản ứng trước yêu cầu gỡ DMCA rồi cố nhét mọi thứ vào yêu cầu gỡ DMCA. Chỉ riêng việc dùng nó để né các điều khoản chống vượt rào đã đủ tệ rồi; nhãn hiệu là phạm vi của những luật hoàn toàn khác
Tôi không hiểu vì sao các công ty cứ phải tự mình học về hiệu ứng Streisand
Trang parody ít công sức này lẽ ra tôi đã không biết là nó tồn tại, và dù có biết thì vì chất lượng thấp nên cũng sẽ không chia sẻ
Nhưng giờ thì tôi quan tâm đến việc ủng hộ và lan truyền trang này 100%. Vì rõ ràng có vẻ nó đã chạm đúng dây thần kinh của họ
Cuộc thảo luận khi đó, tính đến 5 ngày trước, có 1221 điểm và 229 bình luận https://news.ycombinator.com/item?id=41133917
Câu “Apparently, Cloudflare never received” là vấn đề lớn hơn nhiều so với bất kỳ điều gì khác quanh vụ này