1 poin oleh GN⁺ 2024-08-07 | 1 komentar | Bagikan ke WhatsApp
  • ClownStrike, situs yang dibuat konsultan IT David Senk setelah gangguan IT berskala besar, mengganti logo CrowdStrike menjadi parodi badut, dan permintaan penghapusannya memicu kontroversi karena dianggap menyasar ekspresi penggunaan wajar
  • CSC Digital Brand Services, perwakilan CrowdStrike, meminta Cloudflare menghapus logo tersebut, dan Cloudflare memperingatkan kemungkinan pemblokiran seluruh situs jika tidak dipatuhi
  • CrowdStrike menjelaskan bahwa dalam dua pekan terakhir pihaknya mengajukan lebih dari 500 permintaan takedown untuk menangani situs berbahaya dan phishing, dan situs parodi bukan target yang dimaksud, tetapi Senk membantah dengan mengatakan ia benar-benar terdampak
  • Corynne McSherry dari EFF menilai penggunaan DMCA untuk sengketa merek dagang tidak tepat, dan penggunaan wajar seharusnya dipertimbangkan terlebih dahulu
  • Kasus ini menunjukkan bahwa semakin longgar prosedur pemrosesan laporan oleh penyedia layanan besar, ekspresi online yang sah seperti kritik dan satire bisa hilang justru pada momen paling penting

Latar belakang dibuatnya ClownStrike

  • David Senk membuat ClownStrike setelah CrowdStrike disebut sebagai penyebab gangguan IT global akibat pembaruan keamanan yang bermasalah
  • Gangguan tersebut menyebabkan kekacauan berkepanjangan di bandara, rumah sakit, dan sistem perusahaan
  • Senk bukan korban langsung, tetapi ia mendukung desentralisasi karena sentralisasi di industri teknologi dapat menimbulkan kerusakan sampingan yang besar
  • Situs yang dirilis pada 24 Juli itu memiliki susunan sederhana: logo CrowdStrike diubah menjadi badut kartun, dan musik sirkus diputar saat transisi
    • Selama 48 jam pertama, situs itu menggunakan logo Falcon milik platform keamanan siber CrowdStrike tanpa modifikasi
    • Setelah itu, ia menambahkan topi baling-baling pelangi di kepala Falcon
  • Senk mengatakan awalnya ia mengunggah situs itu “sekadar iseng” dan bahwa ia menyukai situs parodi lawas

Permintaan takedown DMCA dan respons Cloudflare

  • Pada 31 Juli, Senk menerima pemberitahuan takedown DMCA dari tim Trust & Safety Cloudflare, yang saat itu menjadi host situs tersebut
  • Pemberitahuan itu menyatakan bahwa tim anti-penipuan global CSC Digital Brand Services, yang mewakili CrowdStrike, meminta agar logo CrowdStrike segera dihapus dari ClownStrike
  • Cloudflare memperingatkan bahwa jika logo tidak dihapus, seluruh situs bisa diturunkan
  • Senk menilai situs tersebut jelas merupakan parodi dan termasuk penggunaan wajar terlepas dari apakah logonya diubah atau tidak, lalu segera mengirim pemberitahuan bantahan
  • Cloudflare tidak mengonfirmasi penerimaan atau membalas pemberitahuan bantahan tersebut, lalu kemudian mengirim lagi email peringatan dugaan pelanggaran
  • Senk memindahkan situsnya ke tempat yang kurang rentan terhadap permintaan takedown DMCA, dan akhirnya menggunakan server Hetzner di Finlandia

Penjelasan CrowdStrike dan bantahan Senk

  • CrowdStrike menolak berkomentar langsung mengenai permintaan takedown ClownStrike itu sendiri
  • Namun, perusahaan mengatakan bahwa dalam dua pekan terakhir, para mitra anti-penipuannya telah mengajukan lebih dari 500 pemberitahuan takedown untuk mencegah aktivitas berbahaya yang memanfaatkan “insiden saat ini”
    • Tujuannya adalah melindungi pelanggan dan industri dari situs phishing serta aktivitas berbahaya
    • CrowdStrike menjelaskan bahwa situs parodi bukan target yang dimaksud, tetapi situs seperti itu bisa terdampak secara tidak hati-hati
    • CrowdStrike menyatakan akan meninjau prosedurnya dan meningkatkan aktivitas anti-penipuan bila diperlukan
  • Senk mengkritik hal itu sebagai respons korporat khas yang “sama sekali tidak mengambil tanggung jawab”
  • Terlepas dari penjelasan bahwa situs parodi bukan target yang dimaksud, ia menekankan bahwa situsnya benar-benar terdampak
  • Di situs ClownStrike, jika mengklik logo CSC yang memakai wig badut, pengunjung dapat melihat kritik Senk bahwa perusahaan mencoba menurunkan konten yang tidak mereka setujui

Penggunaan wajar dan ekspresi parodi

  • Kepala bagian hukum EFF Corynne McSherry menilai bahwa penggunaan logo yang tidak dimodifikasi sekalipun bisa termasuk penggunaan wajar
  • Ia mengatakan bahwa jika penggunaan logo terlihat jelas sebagai parodi, ada banyak situasi di mana itu sah, dan pengadilan juga telah menegaskannya
  • Karena penggunaan wajar pada dasarnya sah menurut definisi, CrowdStrike seharusnya mempertimbangkan terlebih dahulu apakah penggunaan itu termasuk penggunaan wajar sebelum mengklaimnya ilegal
  • Senk menyatakan bahwa situsnya adalah parodi yang jelas dapat dikenali oleh orang yang masuk akal, dan tidak ada penggunaan komersial, produk yang dijual, atau monetisasi
  • McSherry menilai CrowdStrike boleh saja menargetkan situs berbahaya dan phishing, tetapi menurunkan ucapan yang sah sulit diterima

Sikap lanjutan Cloudflare dan celah prosedural

  • Cloudflare tidak menanggapi beberapa permintaan komentar, tetapi kemudian mengirim pesan kepada Senk
  • Cloudflare mengatakan tidak menerima pemberitahuan bantahan Senk, yang menjadi masalah karena waktu untuk mengajukan keberatan atas pemberitahuan takedown dibatasi hanya 72 jam
  • Ketika kabar tentang permintaan takedown terkait ClownStrike menyebar online, trafik situs meningkat dari beberapa ratus kunjungan menjadi lebih dari 80.000 pengunjung unik
  • Cloudflare mengatakan melalui pemberitaan publik bahwa pihaknya memahami Senk dapat mengajukan keberatan yang sah berdasarkan sifat parodi situs web tersebut
  • Cloudflare mengatakan bahwa jika Senk kembali ke hosting Cloudflare dan memberikan pemberitahuan bantahan yang sah terkait sifat parodinya, Cloudflare tidak akan mengambil tindakan penghapusan konten hanya berdasarkan laporan penyalahgunaan merek dagang
  • Senk mengatakan tidak berencana mengembalikan ClownStrike ke Cloudflare
    • Fitur konfirmasi penerimaan pemberitahuan bantahan
    • Portal web untuk melacak laporan penyalahgunaan
    • Pencabutan kewenangan pelaporan CSC yang mengirim permintaan takedown tidak berdasar
    • Ia mengusulkan tiga hal tersebut kepada Cloudflare

Risiko penghapusan berlebihan oleh platform besar

  • McSherry menilai penyedia layanan besar seperti Cloudflare dapat menjadi titik leher botol bagi konten online
  • Ketika platform menjadi terlalu besar dan laporan terlalu banyak, pemrosesan yang cermat menjadi sulit terlepas dari niatnya, dan ucapan yang sah bisa diturunkan
  • Ia menunjukkan bahwa situasi di mana segelintir perusahaan besar memiliki pengaruh berlebihan atas konten yang dapat dilihat online dapat menimbulkan masalah nyata
  • Permintaan takedown CrowdStrike terjadi pada saat ClownStrike paling relevan sebagai komentar atas dampak gangguan IT
  • Periode dua pekan yang mungkin diperlukan untuk pemulihan setelah pemberitahuan bantahan DMCA dapat membuat situs parodi tampak diturunkan pada saat kritik sedang paling kuat
  • McSherry menilai kasus ini sebagai contoh perusahaan besar yang menggunakan prosedur besar tanpa cukup berhati-hati, dan ia menganggapnya tidak dapat diterima
  • Ia berpendapat prosedur penanganan penyalahgunaan Cloudflare harus secara jelas mempertimbangkan penggunaan wajar, dan khususnya dalam ekspresi online, mempertahankan ucapan yang sah seharusnya menjadi pilihan default

Batas antara DMCA dan sengketa merek dagang

  • McSherry menunjukkan bahwa masalah terbesar dari CrowdStrike yang “secara tidak hati-hati” menargetkan situs parodi adalah bahwa DMCA bukan prosedur untuk sengketa pelanggaran merek dagang
  • DMCA banyak digunakan karena merupakan sarana yang mudah untuk menurunkan konten dengan cepat, tetapi prosedur itu pada dasarnya tidak cocok untuk keluhan merek dagang
  • Ia mengatakan penjelasan bahwa hal itu tidak disengaja juga berarti mereka tidak cukup berhati-hati sebelum menggunakan prosedur ini
  • Senk mengatakan tidak berencana mengambil tindakan hukum terhadap CrowdStrike terkait pemberitahuan takedown yang tidak berdasar
  • Ia mengatakan akan 100% puas jika CrowdStrike meminta maaf secara terbuka, dan bercanda bahwa akan lebih baik lagi jika CEO CrowdStrike George Kurtz merekam video permintaan maaf dengan mengenakan kostum badut

1 komentar

 
GN⁺ 2024-08-07
Opini Hacker News
  • Saya membuat situs sekitar 20 tahun lalu, dan sekarang ada di https://whatisbifidusregularis.org/. Saat itu saya diancam gugatan oleh Dannon / Danone, dan domain pertama harus saya serahkan karena merek dagang, tetapi sebelum itu saya sudah memasang 301 redirect agar Google sempat mengikuti perubahannya
    Itu masa yang lebih polos sebelum DMCA, ketika perusahaan belum terlalu tahu cara menghubungi ISP untuk memblokir sesuatu tanpa pengacara, dan saya menikmati korespondensi email yang cukup panjang dengan pengacara Danone yang mungkin sangat mahal
    Awalnya, karena saya kesal sekaligus merasa konyol bahwa dalam iklan mereka menyebut bakteri luar biasa mereka “Bifidus Digestivum”, saya membuat situs di bifidusdigestivum.com, meneliti sebanyak mungkin, lalu menulisnya agar teroptimasi dengan baik untuk pencarian sehingga orang yang mencarinya menemukan situs saya. Sejak itu total tayangannya sekitar 1,5 juta, dan masih ada 400–500 kunjungan per bulan, jadi sesekali kalau teringat saya tertawa

    • Kolom komentarnya terasa sangat seperti astroturfing, terutama karena tiba-tiba mulai lalu berhenti sekitar tahun 2014
      Namun komentar negatifnya juga ikut berhenti, jadi mungkin saja 10 tahun lalu orang-orang memang lebih bersemangat soal yoghurt
  • Senk langsung merasa permintaan penghapusan itu omong kosong, dan berpendapat bahwa karena situsnya jelas parodi, penggunaan logo CrowdStrike yang dimodifikasi juga seharusnya termasuk fair use. Ia segera mengajukan keberatan ke Cloudflare, tetapi Cloudflare bahkan tidak mengonfirmasi bahwa mereka menerima counter-notice, dan hanya mengirim email peringatan pelanggaran kedua
    Secara umum saya menyukai Cloudflare dan menganggapnya pemain yang baik, tetapi ini benar-benar harus diperbaiki. Sistem DMCA sudah condong merugikan pihak kecil, dan hal paling minimal yang harus dilakukan penyedia hosting seperti Cloudflare adalah mendengarkan kedua belah pihak. Idealnya, mereka harus menjadi mediator yang netral
    Saya banyak memakai Cloudflare dan mengeluarkan biaya cukup besar setiap bulan, tetapi ini membuat saya ragu apakah boleh meng-host konten sebenarnya di CF. Saya belum pernah langsung terkena klaim penghapusan DMCA, tetapi saya mengenal orang-orang yang prosesnya disalahgunakan terhadap mereka, dan itu bisa terjadi pada siapa saja
    Saya berharap Cloudflare tidak menjadi bagian dari masalah. Mereka sudah lama mendukung web yang lebih terbuka, web yang juga bisa dijalankan individu kecil, dan mereka termasuk salah satu perusahaan terbaik yang memungkinkan para kreator seperti itu; jadi mereka tidak boleh membantu atau memfasilitasi preman DMCA

    • Lucu bagaimana perusahaan sangat cepat meneruskan pemberitahuan penghapusan dari perusahaan lain, sementara penyampaian counter-notice, yang sama-sama diwajibkan dalam DMCA, malah diulur-ulur atau “dilupakan”
      Selain itu, seingat saya saya belum pernah melihat perusahaan dituntut pidana karena mengajukan pemberitahuan penghapusan DMCA palsu, mungkin karena harus membuktikan niat. Hukumnya secara menggelikan merugikan pihak kecil
    • Saya tidak mengerti bagaimana Cloudflare bisa disebut pendukung web terbuka. Sejak saya mulai memperhatikannya, Cloudflare terus menjadi ancaman bagi web terbuka
    • Cloudflare meninggalkan netralitas ketika mereka memutus akses Daily Stormer. Sebelum itu, bahkan masih diperdebatkan apakah mereka punya kemampuan teknis untuk memutus satu situs saja, dengan alasan sulit menghapus konten dari penyimpanan terdistribusi
      Semakin banyak tindakan politis yang mereka lakukan, semakin besar kerugiannya bagi Cloudflare
    • Ketika saya mencoba menurunkan situs penipuan tiruan yang memakai domain “.shop”, Cloudflare sama sekali tidak berguna, dan akhirnya saya harus langsung mendatangi registrar untuk menghapusnya
      Selain itu, tuntutan CAPTCHA Cloudflare yang berulang-ulang sangat menjengkelkan, dan praktik seperti ini seharusnya disebut sebagai semacam penyalahgunaan
  • Saya penasaran apakah hukum bisa dipelajari dengan cukup murah untuk melawan notifikasi DMCA yang ngawur. Di ranah emulasi, meski produknya sendiri secara teknis legal, sering terlihat proyek akhirnya ditutup karena orang-orang yang meng-hosting proyek tahu mereka bisa bangkrut hanya karena biaya pembelaan
    Akan menyenangkan kalau bisa membalik keadaan dan berkata ke pihak seperti N, “Oke, ayo lanjut. Bakar saja segunung uang lewat tim hukum kalian”

    • Bisa saja, tetapi kelemahan terbesarnya adalah untuk menanggapi DMCA palsu secara hukum, kita harus mengungkap informasi identitas kepada pelapor
      Kalau identitasmu sudah terbuka, setelah mempelajari prosedurnya tidak banyak kelemahan lain
    • Untuk menanggapi secara hukum, pada dasarnya kita harus membuka identitas, dan bahkan kalau semuanya dilakukan sendiri tetap ada biaya
      Hukum pada dasarnya menguntungkan perusahaan. Orang biasa di AS tidak punya tim hukum, apalagi pengacara, tetapi perusahaan punya sumber daya yang praktis tak terbatas untuk terus menyeret proses pembuktian sampai lawan menyerah atau kehabisan uang, bahkan ketika perusahaan itu salah
      Seperti yang dikatakan penulis, sebagian besar sistem hukum AS cukup terang-terangan dirancang untuk perusahaan
    • Dalam kasus ini, terlepas dari valid atau tidaknya notifikasi DMCA, karena Cloudflare tidak membantu, tampaknya CrowdStrike bisa menurunkan situs melalui Cloudflare tanpa proses hukum
      Kalau ClownStrike tidak menjadi berita, CrowdStrike mungkin akan terus mencoba akal-akalan DMCA yang sama ke Hetzner
    • Tidak banyak perbedaannya. Penyedia hosting biasanya adalah pejuang kebebasan berekspresi ideologis yang sama sekali tidak peduli DMCA, atau pihak yang peduli pada penghapusan tetapi tidak tertarik pada pemulihan
      Yang pertama contohnya seperti njalla dan biayanya 5–10 kali lipat sehingga biasanya tidak dipakai, sedangkan Hetzner atau Cloudflare yang banyak dipakai pada praktiknya lebih dekat ke yang kedua
    • Mengirim notifikasi sanggahan DMCA kepada penyedia layanan itu sendiri tidak sulit [1]
      Agar valid, diperlukan tanda tangan fisik atau elektronik pelanggan, materi yang dihapus atau aksesnya diblokir beserta lokasi sebelumnya, pernyataan dengan ancaman pidana sumpah palsu bahwa ada keyakinan dengan itikad baik bahwa materi dihapus karena kesalahan atau salah identifikasi, nama·alamat·nomor telepon, persetujuan pada yurisdiksi pengadilan federal terkait dan pernyataan menerima penyampaian dokumen hukum
      Namun agar penyedia layanan masuk ke klausul safe harbor DMCA, setelah menerima notifikasi sanggahan mereka harus tetap menurunkan konten selama minimal 10 hari dan maksimal 14 hari. Jika pengirim notifikasi awal mengirim notifikasi tambahan bahwa mereka telah mengajukan gugatan terkait pelanggaran, konten akan tetap turun sampai perkara selesai
      Dalam banyak kasus, gangguan 10–14 hari pun terlalu lama, dan orang mungkin tidak ingin memberikan informasi identitas kepada pelapor atau penyedia. Menyatakan keyakinan dengan itikad baik di bawah ancaman pidana sumpah palsu juga bisa terasa membebani
      Kalau pengirim notifikasi awal berniat sampai ke pengadilan, jalannya akan menyulitkan; kalau mereka hanya mengirim DMCA massal dan tidak menindaklanjuti, mungkin tidak apa-apa. Sebaliknya, kalau aku ingin menyeret mereka ke pengadilan, itu juga akan menyulitkan
      Kita juga bisa meyakinkan penyedia bahwa notifikasi awal secara struktural bukan notifikasi DMCA yang valid, tetapi untuk itu dibutuhkan penyedia yang kooperatif. Jika dilihat dari ringkasannya saja, kasus ini tampak sebagai contoh potensial pelanggaran merek dagang yang diajukan lewat DMCA, padahal DMCA tidak menangani merek dagang sehingga secara struktural tidak valid. Penyedia tidak berkewajiban menanganinya, dan mereka juga tidak mendapat safe harbor karena menanganinya. Mungkin saja ada kewajiban untuk bertindak atas keluhan merek dagang, tetapi kewajiban itu tidak muncul dari DMCA
      [1] https://www.law.cornell.edu/uscode/text/17/512 section (g)(3)
  • Setiap pejabat pengadilan yang menandatangani notifikasi DMCA ngawur melanggar sumpahnya dan dapat dikenai disiplin. Di beberapa negara bagian, tampaknya ini juga termasuk perbuatan melawan hukum perdata yang disebut barratry

    • Saya tidak melihat DMCA membutuhkan pejabat pengadilan
    • Setidaknya di Illinois, barratry adalah tindak pidana
    • Menarik memang, tetapi saya tidak tahu apakah ada satu kasus pun di mana pelaku penyalahgunaan yang mengajukan notifikasi DMCA ngawur benar-benar menerima hukuman yang bermakna
  • Biasanya cerita seperti ini berujung pada argumen bahwa penyedia hosting punya kewajiban hukum untuk merespons permintaan penghapusan DMCA secepat mungkin, jadi berhentilah marah
    Namun kali ini, Cloudflare mengklaim tidak menerima dua notifikasi sanggahan yang dikirim operator situs parodi, lalu setelah ia memindahkan layanan dan muncul perhatian negatif, Cloudflare mengirim jawaban lemah yang kurang lebih berbunyi “kami sebenarnya bisa membantu.” Mereka benar-benar mengacaukannya besar-besaran

  • Mencoba menegakkan merek dagang lewat Digital Millennium Copyright Act itu tidak masuk akal, dan dari jawabannya terlihat seperti trik yang sama telah dipakai pada 500 situs web lain tanpa sanksi apa pun
    Saya tidak suka perusahaan melihat respons terhadap permintaan penghapusan DMCA lalu mencoba memasukkan semuanya ke dalam permintaan penghapusan DMCA. Memakainya untuk memanfaatkan klausul anti-penghindaran saja sudah cukup buruk, sedangkan merek dagang adalah ranah hukum yang sama sekali berbeda

    • Bukankah permintaan DMCA tanpa dasar itu tindak pidana?
  • Entah kenapa perusahaan selalu harus belajar efek Streisand secara langsung
    Situs parodi minim upaya ini seharusnya tidak akan pernah saya ketahui keberadaannya, dan kalaupun saya tahu, kualitasnya rendah sehingga saya tidak akan membagikannya
    Tapi sekarang saya jadi tertarik untuk 100% mendukung dan menyebarkan situs ini. Karena jelas tampaknya situs ini berhasil menyentuh saraf yang sensitif

  • Diskusi saat itu, per 5 hari sebelumnya, memiliki 1221 poin dan 229 komentar https://news.ycombinator.com/item?id=41133917

  • Kalimat “[Senk] told Ars he is "a proponent of decentralization."” terdengar lucu karena ini tentang orang yang menaruh situsnya di Cloudflare

    • Tidak ada orang yang bisa sempurna secara ideologis dalam setiap keputusan. Kita hidup di dunia yang berantakan
      Dalam kasus ini, bisa dimaklumi jika ia ingin menggunakan teknologi yang sudah ada untuk memasang situsnya dengan cepat dan andal, atau jika ia benar-benar percaya bahwa Cloudflare akan membela situsnya dengan kuat berdasarkan rekam jejak masa lalunya
    • Mendukung suatu gagasan tidak berarti seseorang secara pribadi harus sepenuhnya berkomitmen pada cara itu. Apakah semua pendukung desentralisasi harus hidup di luar jaringan listrik dan menambang silikon sendiri untuk membuat komputer?
  • Bagian “Apparently, Cloudflare never received” adalah masalah yang jauh lebih besar daripada hal lain di sekitar kasus ini