Estamos todos tentando encontrar o responsável por isso
CrowdStrike e Delta iniciaram sua batalha legal. A Microsoft será processada a seguir?
Os viajantes aguardam com sua bagagem no piso de check-in do terminal da Delta Air Lines no Aeroporto Internacional de Los Angeles (LAX) em 23 de julho de 2024, em Los Angeles, Califórnia.
Delta e CrowdStrike oficialmente se enfrentaram legalmente, ameaçando prolongar as consequências da pior interrupção de TI da história por meses ou até anos.
Cada um se recusa a ser responsabilizado pelas consideráveis perdas da Delta após uma interrupção global de TI causada pela CrowdStrike ao empurrar repentinamente uma atualização de segurança com falhas, apesar de a Delta e muitos outros clientes terem desligado as atualizações automáticas.
A CrowdStrike desde então deu aos clientes mais controle sobre as atualizações e fez outros compromissos para garantir que uma interrupção dessa magnitude nunca mais aconteça, mas a Delta não está satisfeita. A companhia aérea acusou a CrowdStrike de causar intencionalmente perdas ao enganar seus clientes ao falhar em divulgar uma porta não autorizada em seus sistemas operacionais que possibilitou a interrupção.
Em uma petição judicial na sexta-feira passada, a Delta alegou que a CrowdStrike deveria ser responsabilizada pelas mais de $500 milhões em perdas da companhia aérea — em parte porque a CrowdStrike admitiu que deveria ter realizado mais testes e implementações escalonadas para detectar o erro antes de um lançamento em larga escala que interrompeu negócios em todo o mundo.
“Como resultado da falha da CrowdStrike em usar uma implementação escalonada e sem capacidades de reversão, a Atualização com Falhas causou danos generalizados e catastróficos a milhões de computadores, incluindo os sistemas da Delta, fazendo com que os sistemas de trabalho, servidores e sistemas de redundância da Delta falhassem,” disse a reclamação da Delta.
A Delta alegou ainda que a CrowdStrike se apresentou como um provedor de segurança melhor do que os outros que “nunca corta esquinas” enquanto secretamente projetava seu software para ignorar as certificações de segurança da Microsoft a fim de fazer alterações no núcleo dos sistemas de computação da Delta sem o conhecimento da Delta.
“A Delta nunca teria concordado com um processo tão perigoso se a CrowdStrike tivesse divulgado isso,” disse a reclamação da Delta.
Em testemunho ao Congresso, o executivo da CrowdStrike, Adam Meyers, sugeriu que a atualização com falhas seguiu os protocolos padrão. Ele explicou que “o código de software da CrowdStrike é certificado pela Microsoft” e que é “atualizado com menos frequência,” e “novas configurações são enviadas rapidamente para proteger contra ameaças à medida que evoluem,” e não para ignorar verificações de segurança, como alegou a Delta.
Mas ao enganar os clientes sobre essas práticas de segurança, alegou a Delta, a CrowdStrike colocou “lucro à frente da proteção e estabilidade do software.” Para a Delta, a CrowdStrike construiu a porta não autorizada para que pudesse alegar resolver problemas de segurança mais rapidamente do que os concorrentes. E se um tribunal concordar que a falha alegada da CrowdStrike em seguir as melhores práticas da indústria constitui, no mínimo, “negligência grave,” a Delta pode vencer.
CrowdStrike processa para expor as falhas de TI da Delta
Em sua petição judicial, no entanto, a CrowdStrike afirmou que há muito mais na história do que isso. Acusou a Delta de falhar em seguir as leis, incluindo as melhores práticas estabelecidas pela Administração de Segurança do Transporte (TSA).
Enquanto muitos clientes da CrowdStrike conseguiram restaurar os sistemas em um dia após a interrupção, os problemas da Delta se estenderam dolorosamente por cinco dias, interrompendo a viagem de um milhão de clientes. De acordo com a CrowdStrike, o atraso prolongado na Delta não foi devido à falha da CrowdStrike em fornecer assistência adequada, mas alegadamente devido à própria negligência da Delta em cumprir os requisitos da TSA projetados para garantir que nenhuma grande companhia aérea experimente interrupções prolongadas no sistema.
“Apesar da resposta imediata da CrowdStrike, foi a própria resposta e infraestrutura de TI da Delta que causaram os atrasos na capacidade da Delta de retomar a operação normal, resultando em um período de recuperação mais longo do que outras grandes companhias aéreas,” disse a reclamação da CrowdStrike.
Em março de 2023, a TSA adicionou uma emenda de emergência de cibersegurança a seus programas de cibersegurança. A emenda exigia que companhias aéreas como a Delta desenvolvessem “políticas e controles para garantir que os sistemas de tecnologia operacional possam continuar a operar com segurança no caso de um sistema de tecnologia da informação ter sido comprometido,” explicou a reclamação da CrowdStrike.
Cumprir a emenda garantiu que as companhias aéreas pudessem responder “timidamente” a qualquer exploração de suas ciberseguranças ou sistemas operacionais, explicou a CrowdStrike.
A CrowdStrike percebeu que a Delta estava supostamente não em conformidade com o requisito da TSA e outras leis quando seus “esforços para ajudar a remediar os problemas revelaram” supostas “deficiências tecnológicas e falhas em seguir as melhores práticas de segurança, incluindo sistemas de TI desatualizados, problemas no ambiente de diretório ativo da Delta e milhares de senhas comprometidas.”
A TSA recusou o pedido da Ars para comentar se possui alguma verificação em vigor para garantir a conformidade com a emenda de emergência.
Embora a TSA não tenha indicado até agora que pretende investigar as alegações da CrowdStrike, o Departamento de Transporte (DOT) está atualmente investigando o aparentemente inferior atendimento ao cliente da Delta durante a interrupção. Essa investigação pode levar a multas monetárias, potencialmente expandindo ainda mais as perdas da Delta.
Em uma declaração, o Secretário do DOT, Pete Buttigieg, disse: “Deixamos claro à Delta que eles devem cuidar de seus passageiros e honrar seus compromissos de atendimento ao cliente. Isso não é apenas a coisa certa a fazer, é a lei, e nosso departamento usará toda a extensão de nosso poder investigativo e de aplicação para garantir que os direitos dos passageiros da Delta sejam respeitados.”
No X (anteriormente Twitter), Buttigieg disse que a investigação foi iniciada após o DOT receber centenas de reclamações sobre a resposta da Delta. Poucos dias depois, Buttigieg confirmou que a investigação “garantiria que a companhia aérea está seguindo a lei e cuidando de seus passageiros durante interrupções generalizadas contínuas.” Mas o DOT recusou o pedido da Ars para comentar se estava investigando a suposta não conformidade da Delta com os requisitos de segurança da TSA, observando apenas que “a TSA não faz parte do DOT.”
A Microsoft será processada a seguir?
A Delta tem ameaçado ações legais sobre a interrupção da CrowdStrike desde agosto, quando a Delta confirmou em um registro na SEC que a interrupção causou “aproximadamente 7.000 cancelamentos de voos ao longo de cinco dias.” Naquele momento, o CEO da Delta, Ed Bastian, anunciou: “Estamos buscando reivindicações legais contra a CrowdStrike e a Microsoft para recuperar os danos causados pela interrupção, que totalizam pelo menos $500 milhões.”
Mas a petição da Delta na sexta-feira notavelmente não nomeia a Microsoft como réu.
A Ars não conseguiu contatar imediatamente o advogado da Delta, David Boies, para confirmar se outra ação judicial pode estar a caminho ou se a ameaça legal à Microsoft foi descartada.
Pode ser que a Microsoft tenha dissuadido a Delta de apresentar uma reclamação. Imediatamente em agosto, a Microsoft negou as alegações da Delta de que o gigante da tecnologia fosse de alguma forma responsável pelas perdas da Delta, relatou o The Register. Em uma carta a Boies, o advogado da Microsoft, Mark Cheffo, escreveu que a Microsoft “compreende” a Delta, mas que os comentários públicos da Delta culpando a Microsoft pela interrupção são “incompletos, falsos, enganosos e prejudiciais à Microsoft e à sua reputação.”
“A verdade é muito diferente da imagem falsa que você e a Delta tentaram pintar,” escreveu Cheffo, observando que a Microsoft não causou a interrupção e que a Delta repetidamente rejeitou as ofertas da Microsoft para ajudar a restaurar seus sistemas. Isso inclui uma instância em que um funcionário da Delta supostamente respondeu a uma consulta da Microsoft três dias após a interrupção dizendo que a Delta estava “tudo bem.” Além disso, uma mensagem do CEO da Microsoft, Satya Nadella, para Bastian da Delta supostamente ficou sem resposta.
Cheffo alegou que a Delta estava evasiva sobre a aceitação da ajuda da Microsoft porque “o sistema de TI com o qual estava tendo mais problemas para restaurar—seu sistema de rastreamento e programação de tripulação—estava sendo atendido por outros provedores de tecnologia, como a IBM, porque funciona nos sistemas desses provedores e não no Windows ou Azure da Microsoft.”
De acordo com Cheffo, a Microsoft ficou “surpresa” quando a Delta ameaçou processar, uma vez que os problemas pareciam estar com a infraestrutura de TI da Delta, não com os serviços da Microsoft.
“A Microsoft continua a investigar as circunstâncias em torno do incidente da CrowdStrike para entender por que outras companhias aéreas conseguiram restaurar totalmente as operações comerciais muito mais rápido do que a Delta, incluindo a American Airlines e a United Airlines,” escreveu Cheffo. “Nossa revisão preliminar sugere que a Delta, ao contrário de seus concorrentes, aparentemente não modernizou sua infraestrutura de TI, seja para o benefício de seus clientes ou para seus pilotos e comissários de bordo.”
Naquela época, Cheffo disse a Boies que a Microsoft planejava “defender vigorosamente” contra qualquer litígio. Além disso, o advogado da Microsoft exigiu que a Delta preservasse documentos, incluindo aqueles que mostrassem “a extensão em que sistemas ou software que não são da Microsoft, incluindo sistemas fornecidos e/ou projetados pela IBM, Oracle, Amazon Web Services, Kyndryl ou outros, e sistemas que utilizam outros sistemas operacionais, como Linux, contribuíram para a interrupção das operações comerciais da Delta entre 19 e 24 de julho.”
Parece possível que a carta de Cheffo tenha assustado a Delta a não nomear a Microsoft como réu na ação judicial sobre a interrupção, potencialmente para evitar um oponente bem financiado ou para salvar a face pública caso as propostas de descoberta da Microsoft ameaçassem expor ainda mais a suposta infraestrutura de TI falha da Delta.
A Microsoft recusou o pedido da Ars para comentar.
CrowdStrike diz que os TOS limitam severamente os danos
A CrowdStrike parece estar ecoando as táticas de defesa da Microsoft, argumentando que a Delta lutou para se recuperar devido às suas próprias falhas de TI.
De acordo com a CrowdStrike, mesmo que as alegações de violação de contrato da Delta sejam válidas, os termos de serviço da CrowdStrike limitam severamente os danos. No máximo, os termos da CrowdStrike estipulam que os danos devidos à Delta podem ser “duas vezes o valor das taxas pagas ao provedor de serviços pelo relevante termo de serviços de assinatura,” o que provavelmente é substancialmente menor do que $500 milhões.
E a Delta quer muito mais do que a receita perdida de volta. Além dos $500 milhões em perdas, a companhia aérea pediu a um tribunal da Geórgia que calcule danos punitivos e recupere a Delta por futuras perdas de receita, uma vez que sua reputação sofreu um impacto devido ao rechaço público em relação à resposta medíocre da Delta à interrupção.
“A CrowdStrike deve ‘assumir’ o desastre que criou,” disse a reclamação da Delta, alegando que “a CrowdStrike falhou em exercer a mínima diligência ou cuidado do grau que pessoas de bom senso, por mais desatentas que possam ser, usariam em circunstâncias semelhantes.”
A CrowdStrike espera que um júri do tribunal distrital dos EUA concorde que a Delta foi a que mais errou enquanto o mundo se esforçava para se recuperar da interrupção. A empresa de cibersegurança pediu ao júri que declare que quaisquer danos potenciais são limitados pelos termos de assinatura da CrowdStrike e que “a CrowdStrike não foi negligente grave e não cometeu má conduta intencional de forma alguma.”