Situs parodi ClownStrike menolak permintaan takedown DMCA CrowdStrike yang tidak berdasar
(arstechnica.com)- ClownStrike, situs yang dibuat konsultan IT David Senk setelah gangguan IT berskala besar, mengganti logo CrowdStrike menjadi parodi badut, dan permintaan penghapusannya memicu kontroversi karena dianggap menyasar ekspresi penggunaan wajar
- CSC Digital Brand Services, perwakilan CrowdStrike, meminta Cloudflare menghapus logo tersebut, dan Cloudflare memperingatkan kemungkinan pemblokiran seluruh situs jika tidak dipatuhi
- CrowdStrike menjelaskan bahwa dalam dua pekan terakhir pihaknya mengajukan lebih dari 500 permintaan takedown untuk menangani situs berbahaya dan phishing, dan situs parodi bukan target yang dimaksud, tetapi Senk membantah dengan mengatakan ia benar-benar terdampak
- Corynne McSherry dari EFF menilai penggunaan DMCA untuk sengketa merek dagang tidak tepat, dan penggunaan wajar seharusnya dipertimbangkan terlebih dahulu
- Kasus ini menunjukkan bahwa semakin longgar prosedur pemrosesan laporan oleh penyedia layanan besar, ekspresi online yang sah seperti kritik dan satire bisa hilang justru pada momen paling penting
Latar belakang dibuatnya ClownStrike
- David Senk membuat ClownStrike setelah CrowdStrike disebut sebagai penyebab gangguan IT global akibat pembaruan keamanan yang bermasalah
- Gangguan tersebut menyebabkan kekacauan berkepanjangan di bandara, rumah sakit, dan sistem perusahaan
- Senk bukan korban langsung, tetapi ia mendukung desentralisasi karena sentralisasi di industri teknologi dapat menimbulkan kerusakan sampingan yang besar
- Situs yang dirilis pada 24 Juli itu memiliki susunan sederhana: logo CrowdStrike diubah menjadi badut kartun, dan musik sirkus diputar saat transisi
- Selama 48 jam pertama, situs itu menggunakan logo Falcon milik platform keamanan siber CrowdStrike tanpa modifikasi
- Setelah itu, ia menambahkan topi baling-baling pelangi di kepala Falcon
- Senk mengatakan awalnya ia mengunggah situs itu “sekadar iseng” dan bahwa ia menyukai situs parodi lawas
Permintaan takedown DMCA dan respons Cloudflare
- Pada 31 Juli, Senk menerima pemberitahuan takedown DMCA dari tim Trust & Safety Cloudflare, yang saat itu menjadi host situs tersebut
- Pemberitahuan itu menyatakan bahwa tim anti-penipuan global CSC Digital Brand Services, yang mewakili CrowdStrike, meminta agar logo CrowdStrike segera dihapus dari ClownStrike
- Cloudflare memperingatkan bahwa jika logo tidak dihapus, seluruh situs bisa diturunkan
- Senk menilai situs tersebut jelas merupakan parodi dan termasuk penggunaan wajar terlepas dari apakah logonya diubah atau tidak, lalu segera mengirim pemberitahuan bantahan
- Cloudflare tidak mengonfirmasi penerimaan atau membalas pemberitahuan bantahan tersebut, lalu kemudian mengirim lagi email peringatan dugaan pelanggaran
- Senk memindahkan situsnya ke tempat yang kurang rentan terhadap permintaan takedown DMCA, dan akhirnya menggunakan server Hetzner di Finlandia
Penjelasan CrowdStrike dan bantahan Senk
- CrowdStrike menolak berkomentar langsung mengenai permintaan takedown ClownStrike itu sendiri
- Namun, perusahaan mengatakan bahwa dalam dua pekan terakhir, para mitra anti-penipuannya telah mengajukan lebih dari 500 pemberitahuan takedown untuk mencegah aktivitas berbahaya yang memanfaatkan “insiden saat ini”
- Tujuannya adalah melindungi pelanggan dan industri dari situs phishing serta aktivitas berbahaya
- CrowdStrike menjelaskan bahwa situs parodi bukan target yang dimaksud, tetapi situs seperti itu bisa terdampak secara tidak hati-hati
- CrowdStrike menyatakan akan meninjau prosedurnya dan meningkatkan aktivitas anti-penipuan bila diperlukan
- Senk mengkritik hal itu sebagai respons korporat khas yang “sama sekali tidak mengambil tanggung jawab”
- Terlepas dari penjelasan bahwa situs parodi bukan target yang dimaksud, ia menekankan bahwa situsnya benar-benar terdampak
- Di situs ClownStrike, jika mengklik logo CSC yang memakai wig badut, pengunjung dapat melihat kritik Senk bahwa perusahaan mencoba menurunkan konten yang tidak mereka setujui
Penggunaan wajar dan ekspresi parodi
- Kepala bagian hukum EFF Corynne McSherry menilai bahwa penggunaan logo yang tidak dimodifikasi sekalipun bisa termasuk penggunaan wajar
- Ia mengatakan bahwa jika penggunaan logo terlihat jelas sebagai parodi, ada banyak situasi di mana itu sah, dan pengadilan juga telah menegaskannya
- Karena penggunaan wajar pada dasarnya sah menurut definisi, CrowdStrike seharusnya mempertimbangkan terlebih dahulu apakah penggunaan itu termasuk penggunaan wajar sebelum mengklaimnya ilegal
- Senk menyatakan bahwa situsnya adalah parodi yang jelas dapat dikenali oleh orang yang masuk akal, dan tidak ada penggunaan komersial, produk yang dijual, atau monetisasi
- McSherry menilai CrowdStrike boleh saja menargetkan situs berbahaya dan phishing, tetapi menurunkan ucapan yang sah sulit diterima
Sikap lanjutan Cloudflare dan celah prosedural
- Cloudflare tidak menanggapi beberapa permintaan komentar, tetapi kemudian mengirim pesan kepada Senk
- Cloudflare mengatakan tidak menerima pemberitahuan bantahan Senk, yang menjadi masalah karena waktu untuk mengajukan keberatan atas pemberitahuan takedown dibatasi hanya 72 jam
- Ketika kabar tentang permintaan takedown terkait ClownStrike menyebar online, trafik situs meningkat dari beberapa ratus kunjungan menjadi lebih dari 80.000 pengunjung unik
- Cloudflare mengatakan melalui pemberitaan publik bahwa pihaknya memahami Senk dapat mengajukan keberatan yang sah berdasarkan sifat parodi situs web tersebut
- Cloudflare mengatakan bahwa jika Senk kembali ke hosting Cloudflare dan memberikan pemberitahuan bantahan yang sah terkait sifat parodinya, Cloudflare tidak akan mengambil tindakan penghapusan konten hanya berdasarkan laporan penyalahgunaan merek dagang
- Senk mengatakan tidak berencana mengembalikan ClownStrike ke Cloudflare
- Fitur konfirmasi penerimaan pemberitahuan bantahan
- Portal web untuk melacak laporan penyalahgunaan
- Pencabutan kewenangan pelaporan CSC yang mengirim permintaan takedown tidak berdasar
- Ia mengusulkan tiga hal tersebut kepada Cloudflare
Risiko penghapusan berlebihan oleh platform besar
- McSherry menilai penyedia layanan besar seperti Cloudflare dapat menjadi titik leher botol bagi konten online
- Ketika platform menjadi terlalu besar dan laporan terlalu banyak, pemrosesan yang cermat menjadi sulit terlepas dari niatnya, dan ucapan yang sah bisa diturunkan
- Ia menunjukkan bahwa situasi di mana segelintir perusahaan besar memiliki pengaruh berlebihan atas konten yang dapat dilihat online dapat menimbulkan masalah nyata
- Permintaan takedown CrowdStrike terjadi pada saat ClownStrike paling relevan sebagai komentar atas dampak gangguan IT
- Periode dua pekan yang mungkin diperlukan untuk pemulihan setelah pemberitahuan bantahan DMCA dapat membuat situs parodi tampak diturunkan pada saat kritik sedang paling kuat
- McSherry menilai kasus ini sebagai contoh perusahaan besar yang menggunakan prosedur besar tanpa cukup berhati-hati, dan ia menganggapnya tidak dapat diterima
- Ia berpendapat prosedur penanganan penyalahgunaan Cloudflare harus secara jelas mempertimbangkan penggunaan wajar, dan khususnya dalam ekspresi online, mempertahankan ucapan yang sah seharusnya menjadi pilihan default
Batas antara DMCA dan sengketa merek dagang
- McSherry menunjukkan bahwa masalah terbesar dari CrowdStrike yang “secara tidak hati-hati” menargetkan situs parodi adalah bahwa DMCA bukan prosedur untuk sengketa pelanggaran merek dagang
- DMCA banyak digunakan karena merupakan sarana yang mudah untuk menurunkan konten dengan cepat, tetapi prosedur itu pada dasarnya tidak cocok untuk keluhan merek dagang
- Ia mengatakan penjelasan bahwa hal itu tidak disengaja juga berarti mereka tidak cukup berhati-hati sebelum menggunakan prosedur ini
- Senk mengatakan tidak berencana mengambil tindakan hukum terhadap CrowdStrike terkait pemberitahuan takedown yang tidak berdasar
- Ia mengatakan akan 100% puas jika CrowdStrike meminta maaf secara terbuka, dan bercanda bahwa akan lebih baik lagi jika CEO CrowdStrike George Kurtz merekam video permintaan maaf dengan mengenakan kostum badut
1 komentar
Opini Hacker News
Saya membuat situs sekitar 20 tahun lalu, dan sekarang ada di https://whatisbifidusregularis.org/. Saat itu saya diancam gugatan oleh Dannon / Danone, dan domain pertama harus saya serahkan karena merek dagang, tetapi sebelum itu saya sudah memasang 301 redirect agar Google sempat mengikuti perubahannya
Itu masa yang lebih polos sebelum DMCA, ketika perusahaan belum terlalu tahu cara menghubungi ISP untuk memblokir sesuatu tanpa pengacara, dan saya menikmati korespondensi email yang cukup panjang dengan pengacara Danone yang mungkin sangat mahal
Awalnya, karena saya kesal sekaligus merasa konyol bahwa dalam iklan mereka menyebut bakteri luar biasa mereka “Bifidus Digestivum”, saya membuat situs di bifidusdigestivum.com, meneliti sebanyak mungkin, lalu menulisnya agar teroptimasi dengan baik untuk pencarian sehingga orang yang mencarinya menemukan situs saya. Sejak itu total tayangannya sekitar 1,5 juta, dan masih ada 400–500 kunjungan per bulan, jadi sesekali kalau teringat saya tertawa
Namun komentar negatifnya juga ikut berhenti, jadi mungkin saja 10 tahun lalu orang-orang memang lebih bersemangat soal yoghurt
Senk langsung merasa permintaan penghapusan itu omong kosong, dan berpendapat bahwa karena situsnya jelas parodi, penggunaan logo CrowdStrike yang dimodifikasi juga seharusnya termasuk fair use. Ia segera mengajukan keberatan ke Cloudflare, tetapi Cloudflare bahkan tidak mengonfirmasi bahwa mereka menerima counter-notice, dan hanya mengirim email peringatan pelanggaran kedua
Secara umum saya menyukai Cloudflare dan menganggapnya pemain yang baik, tetapi ini benar-benar harus diperbaiki. Sistem DMCA sudah condong merugikan pihak kecil, dan hal paling minimal yang harus dilakukan penyedia hosting seperti Cloudflare adalah mendengarkan kedua belah pihak. Idealnya, mereka harus menjadi mediator yang netral
Saya banyak memakai Cloudflare dan mengeluarkan biaya cukup besar setiap bulan, tetapi ini membuat saya ragu apakah boleh meng-host konten sebenarnya di CF. Saya belum pernah langsung terkena klaim penghapusan DMCA, tetapi saya mengenal orang-orang yang prosesnya disalahgunakan terhadap mereka, dan itu bisa terjadi pada siapa saja
Saya berharap Cloudflare tidak menjadi bagian dari masalah. Mereka sudah lama mendukung web yang lebih terbuka, web yang juga bisa dijalankan individu kecil, dan mereka termasuk salah satu perusahaan terbaik yang memungkinkan para kreator seperti itu; jadi mereka tidak boleh membantu atau memfasilitasi preman DMCA
Selain itu, seingat saya saya belum pernah melihat perusahaan dituntut pidana karena mengajukan pemberitahuan penghapusan DMCA palsu, mungkin karena harus membuktikan niat. Hukumnya secara menggelikan merugikan pihak kecil
Semakin banyak tindakan politis yang mereka lakukan, semakin besar kerugiannya bagi Cloudflare
Selain itu, tuntutan CAPTCHA Cloudflare yang berulang-ulang sangat menjengkelkan, dan praktik seperti ini seharusnya disebut sebagai semacam penyalahgunaan
Saya penasaran apakah hukum bisa dipelajari dengan cukup murah untuk melawan notifikasi DMCA yang ngawur. Di ranah emulasi, meski produknya sendiri secara teknis legal, sering terlihat proyek akhirnya ditutup karena orang-orang yang meng-hosting proyek tahu mereka bisa bangkrut hanya karena biaya pembelaan
Akan menyenangkan kalau bisa membalik keadaan dan berkata ke pihak seperti N, “Oke, ayo lanjut. Bakar saja segunung uang lewat tim hukum kalian”
Kalau identitasmu sudah terbuka, setelah mempelajari prosedurnya tidak banyak kelemahan lain
Hukum pada dasarnya menguntungkan perusahaan. Orang biasa di AS tidak punya tim hukum, apalagi pengacara, tetapi perusahaan punya sumber daya yang praktis tak terbatas untuk terus menyeret proses pembuktian sampai lawan menyerah atau kehabisan uang, bahkan ketika perusahaan itu salah
Seperti yang dikatakan penulis, sebagian besar sistem hukum AS cukup terang-terangan dirancang untuk perusahaan
Kalau ClownStrike tidak menjadi berita, CrowdStrike mungkin akan terus mencoba akal-akalan DMCA yang sama ke Hetzner
Yang pertama contohnya seperti njalla dan biayanya 5–10 kali lipat sehingga biasanya tidak dipakai, sedangkan Hetzner atau Cloudflare yang banyak dipakai pada praktiknya lebih dekat ke yang kedua
Agar valid, diperlukan tanda tangan fisik atau elektronik pelanggan, materi yang dihapus atau aksesnya diblokir beserta lokasi sebelumnya, pernyataan dengan ancaman pidana sumpah palsu bahwa ada keyakinan dengan itikad baik bahwa materi dihapus karena kesalahan atau salah identifikasi, nama·alamat·nomor telepon, persetujuan pada yurisdiksi pengadilan federal terkait dan pernyataan menerima penyampaian dokumen hukum
Namun agar penyedia layanan masuk ke klausul safe harbor DMCA, setelah menerima notifikasi sanggahan mereka harus tetap menurunkan konten selama minimal 10 hari dan maksimal 14 hari. Jika pengirim notifikasi awal mengirim notifikasi tambahan bahwa mereka telah mengajukan gugatan terkait pelanggaran, konten akan tetap turun sampai perkara selesai
Dalam banyak kasus, gangguan 10–14 hari pun terlalu lama, dan orang mungkin tidak ingin memberikan informasi identitas kepada pelapor atau penyedia. Menyatakan keyakinan dengan itikad baik di bawah ancaman pidana sumpah palsu juga bisa terasa membebani
Kalau pengirim notifikasi awal berniat sampai ke pengadilan, jalannya akan menyulitkan; kalau mereka hanya mengirim DMCA massal dan tidak menindaklanjuti, mungkin tidak apa-apa. Sebaliknya, kalau aku ingin menyeret mereka ke pengadilan, itu juga akan menyulitkan
Kita juga bisa meyakinkan penyedia bahwa notifikasi awal secara struktural bukan notifikasi DMCA yang valid, tetapi untuk itu dibutuhkan penyedia yang kooperatif. Jika dilihat dari ringkasannya saja, kasus ini tampak sebagai contoh potensial pelanggaran merek dagang yang diajukan lewat DMCA, padahal DMCA tidak menangani merek dagang sehingga secara struktural tidak valid. Penyedia tidak berkewajiban menanganinya, dan mereka juga tidak mendapat safe harbor karena menanganinya. Mungkin saja ada kewajiban untuk bertindak atas keluhan merek dagang, tetapi kewajiban itu tidak muncul dari DMCA
[1] https://www.law.cornell.edu/uscode/text/17/512 section (g)(3)
Setiap pejabat pengadilan yang menandatangani notifikasi DMCA ngawur melanggar sumpahnya dan dapat dikenai disiplin. Di beberapa negara bagian, tampaknya ini juga termasuk perbuatan melawan hukum perdata yang disebut barratry
Biasanya cerita seperti ini berujung pada argumen bahwa penyedia hosting punya kewajiban hukum untuk merespons permintaan penghapusan DMCA secepat mungkin, jadi berhentilah marah
Namun kali ini, Cloudflare mengklaim tidak menerima dua notifikasi sanggahan yang dikirim operator situs parodi, lalu setelah ia memindahkan layanan dan muncul perhatian negatif, Cloudflare mengirim jawaban lemah yang kurang lebih berbunyi “kami sebenarnya bisa membantu.” Mereka benar-benar mengacaukannya besar-besaran
Mencoba menegakkan merek dagang lewat Digital Millennium Copyright Act itu tidak masuk akal, dan dari jawabannya terlihat seperti trik yang sama telah dipakai pada 500 situs web lain tanpa sanksi apa pun
Saya tidak suka perusahaan melihat respons terhadap permintaan penghapusan DMCA lalu mencoba memasukkan semuanya ke dalam permintaan penghapusan DMCA. Memakainya untuk memanfaatkan klausul anti-penghindaran saja sudah cukup buruk, sedangkan merek dagang adalah ranah hukum yang sama sekali berbeda
Entah kenapa perusahaan selalu harus belajar efek Streisand secara langsung
Situs parodi minim upaya ini seharusnya tidak akan pernah saya ketahui keberadaannya, dan kalaupun saya tahu, kualitasnya rendah sehingga saya tidak akan membagikannya
Tapi sekarang saya jadi tertarik untuk 100% mendukung dan menyebarkan situs ini. Karena jelas tampaknya situs ini berhasil menyentuh saraf yang sensitif
Diskusi saat itu, per 5 hari sebelumnya, memiliki 1221 poin dan 229 komentar https://news.ycombinator.com/item?id=41133917
Kalimat “[Senk] told Ars he is "a proponent of decentralization."” terdengar lucu karena ini tentang orang yang menaruh situsnya di Cloudflare
Dalam kasus ini, bisa dimaklumi jika ia ingin menggunakan teknologi yang sudah ada untuk memasang situsnya dengan cepat dan andal, atau jika ia benar-benar percaya bahwa Cloudflare akan membela situsnya dengan kuat berdasarkan rekam jejak masa lalunya
Bagian “Apparently, Cloudflare never received” adalah masalah yang jauh lebih besar daripada hal lain di sekitar kasus ini