- Büyük çaplı BT kesintisinin ardından BT danışmanı David Senk’in oluşturduğu ClownStrike, CrowdStrike logosunu palyaço parodisine dönüştüren bir siteydi ve kaldırma talebinin adil kullanım kapsamındaki ifadeyi hedef aldığı yönünde tartışma yarattı
- CrowdStrike adına hareket eden CSC Digital Brand Services, Cloudflare’dan logonun kaldırılmasını istedi; Cloudflare ise yerine getirilmemesi halinde tüm sitenin engellenebileceği uyarısında bulundu
- CrowdStrike, son 2 haftada kötü amaçlı siteler ve phishing girişimlerine karşılık vermek için 500’den fazla kaldırma talebi gönderdiğini ve parodi sitesinin hedeflenen taraf olmadığını savundu; ancak Senk buna karşı çıkarak fiilen zarara uğradığını söyledi
- EFF’ten Corynne McSherry, marka uyuşmazlıklarında DMCA kullanılmasının uygunsuz olduğunu ve önce adil kullanım olup olmadığının değerlendirilmesi gerektiğini düşünüyor
- Bu olay, büyük hizmet sağlayıcılarının ihbar işleme süreçleri ne kadar gevşek olursa eleştiri ve hiciv gibi yasal çevrimiçi ifadelerin en kritik anda ortadan kaybolabileceğini gösteriyor
ClownStrike’ın ortaya çıkış arka planı
- David Senk, CrowdStrike’ın sorunlu bir güvenlik güncellemesinin küresel BT kesintisinin nedeni olarak gösterilmesinin ardından ClownStrike sitesini oluşturdu
- Söz konusu kesinti havaalanlarında, hastanelerde ve şirket sistemlerinde uzun süreli karışıklığa yol açtı
- Senk doğrudan mağdur olmadığını, ancak teknoloji sektöründeki merkezileşmenin büyük yan hasarlar yaratabildiğini söyleyerek merkezsizlikten yana olduğunu belirtti
- 24 Temmuz’da yayına alınan site, CrowdStrike logosunun çizgi film tarzı bir palyaçoya dönüştürüldüğü ve geçiş sırasında sirk müziğinin çaldığı basit bir yapıdan oluşuyordu
- İlk 48 saat boyunca CrowdStrike’ın siber güvenlik platformu Falcon’un logosu değiştirilmeden kullanıldı
- Daha sonra Falcon’un başına gökkuşağı renkli pervaneli bir şapka eklendi
- Senk, başlangıçta siteyi “sadece eğlencesine” yayına aldığını ve eski parodi sitelerini sevdiğini söyledi
DMCA kaldırma talebi ve Cloudflare’ın yaklaşımı
- 31 Temmuz’da Senk, o sırada siteyi barındıran Cloudflare’ın güven ve emniyet ekibinden bir DMCA kaldırma bildirimi aldı
- Bildirimde, CrowdStrike adına hareket eden CSC Digital Brand Services’in küresel dolandırıcılık önleme ekibinin ClownStrike’tan CrowdStrike logosunun derhal kaldırılmasını talep ettiği belirtiliyordu
- Cloudflare, logo kaldırılmazsa tüm sitenin kapatılabileceği uyarısını yaptı
- Senk, sitenin açıkça bir parodi olduğunu ve logoda değişiklik yapılıp yapılmadığına bakılmaksızın bunun adil kullanım kapsamında olduğunu değerlendirerek hemen karşı bildirim gönderdi
- Cloudflare, karşı bildirimin alındığını ne teyit etti ne de yanıt verdi; ardından yeniden olası ihlal uyarı e-postası gönderdi
- Senk, DMCA kaldırma taleplerine daha az açık bir yere taşınarak siteyi sonunda Finlandiya’daki Hetzner sunucularına aldı
CrowdStrike’ın açıklaması ve Senk’in itirazı
- CrowdStrike, ClownStrike’ın kaldırılmasına ilişkin talep hakkında doğrudan yorum yapmayı reddetti
- Ancak son 2 hafta içinde “mevcut olayı” istismar eden kötü niyetli faaliyetleri engellemek için dolandırıcılık önleme ortaklarının 500’den fazla kaldırma bildirimi gönderdiğini açıkladı
- Bunun amacının müşterileri ve sektörü phishing siteleri ile kötü amaçlı faaliyetlerden korumak olduğu belirtildi
- Parodi sitelerinin hedeflenen taraf olmadığını, ancak bu tür sitelerin dikkatsizlik sonucu etkilenebileceğini söyledi
- CrowdStrike, süreci gözden geçireceğini ve uygun durumlarda dolandırıcılık önleme faaliyetlerini iyileştireceğini belirtti
- Senk bunu “hiçbir sorumluluk üstlenmeyen” tipik bir kurumsal yanıt olarak eleştirdi
- Parodi sitesinin hedeflenen taraf olmadığı yönündeki açıklamadan bağımsız olarak, kendi sitesinin fiilen etkilendiğini vurguladı
- ClownStrike sitesinde, palyaço peruğu takmış CSC logosuna tıklanınca şirketlerin hoşlanmadıkları içerikleri kaldırmaya çalıştığı yönündeki Senk eleştirisi görülebiliyor
Adil kullanım ve parodi ifade
- EFF hukuk direktörü Corynne McSherry, değiştirilmemiş bir logonun kullanılmasının da adil kullanım olabileceğini düşünüyor
- Logo kullanımı açıkça parodi niteliğindeyse bunun yasal sayıldığı pek çok durum bulunduğunu ve mahkemelerin de bunu doğruladığını söyledi
- Adil kullanım tanımı gereği yasaldır; bu nedenle CrowdStrike’ın ilgili kullanımın hukuka aykırı olduğunu iddia etmeden önce bunun adil kullanım olup olmadığını değerlendirmesi gerektiğini savundu
- Senk, sitesinin makul bir kişinin açıkça parodi olarak anlayabileceği nitelikte olduğunu ve ortada ticari kullanım, satılan ürün ya da gelir elde etme amacı bulunmadığını ileri sürdü
- McSherry, CrowdStrike’ın kötü amaçlı ve phishing sitelerini hedef almasının meşru olabileceğini, ancak yasal ifadeyi kaldırmanın kabul edilemeyeceğini düşünüyor
Cloudflare’ın sonraki tutumu ve usule ilişkin açıklar
- Cloudflare, birden fazla yorum talebine yanıt vermedi ancak daha sonra Senk’e bir mesaj gönderdi
- Cloudflare, Senk’in karşı bildirimini almadığını söyledi; bu da kaldırma bildirimine itiraz süresinin 72 saatle sınırlı olması nedeniyle sorunlu bir durum yaratıyor
- ClownStrike ile ilgili kaldırma talebi haberi internette yayılınca site trafiği birkaç yüz görüntülemeden 80 binden fazla tekil ziyaretçiye çıktı
- Cloudflare, kamuya açık haberler üzerinden Senk’in sitenin parodi niteliğine dayanarak meşru itirazda bulunabileceğini anladığını belirtti
- Senk yeniden Cloudflare barındırmasına döner ve parodi niteliğine ilişkin geçerli bir karşı bildirim sunarsa, Cloudflare yalnızca marka hakkı kötüye kullanım şikâyeti üzerine içeriği kaldırmayacağını söyledi
- Senk, ClownStrike’ı yeniden Cloudflare’a taşımayı planlamadığını açıkladı
- Karşı bildirim alındı teyidi özelliği
- Kötüye kullanım şikâyetlerini izleyebilecek bir web portalı
- Haksız kaldırma talebi gönderen CSC’nin ihbar yetkisinin geri alınması
- Bu üç öneriyi Cloudflare’a sundu
Büyük platformların yarattığı aşırı kaldırma riski
- McSherry, Cloudflare gibi büyük hizmet sağlayıcılarının çevrimiçi içerik için bir darboğaz noktası haline gelebildiğini düşünüyor
- Platformlar aşırı büyüyüp ihbar sayısı arttığında, niyetten bağımsız olarak hassas işlem yapmak zorlaşıyor ve yasal ifade kaldırılabiliyor
- Az sayıdaki büyük şirketin internette görülebilecek içerikler üzerinde aşırı etkiye sahip olmasının gerçek sorunlar yaratabileceğine dikkat çekti
- CrowdStrike’ın kaldırma talebi, ClownStrike’ın BT kesintisinin etkilerine ilişkin yorum olarak en ilgili olduğu anda geldi
- DMCA karşı bildiriminin ardından geri yüklemeye kadar sürebilecek 2 haftalık dönem, eleştirinin en yoğun olduğu sırada parodi sitesinin kapalı kalmasına yol açabilir
- McSherry, bu olayı büyük şirketlerin büyük süreçleri yeterince dikkatli kullanmamasına örnek olarak değerlendirdi ve bunun kabul edilemez olduğunu söyledi
- Cloudflare’ın kötüye kullanım işleme sürecinin adil kullanımı açıkça dikkate alması gerektiğini, özellikle çevrimiçi ifadede varsayılan tutumun yasal ifadeyi korumak olması gerektiğini savundu
DMCA ile marka uyuşmazlıkları arasındaki sınır
- McSherry, CrowdStrike’ın parodi sitesini “dikkatsizlikle” hedef almasının en büyük sorununun, DMCA’nın marka hakkı ihlali uyuşmazlıkları için tasarlanmış bir prosedür olmaması olduğunu vurguladı
- DMCA, içeriği hızla kaldırmaya elverişli bir araç olduğu için yaygın kullanılıyor, ancak marka hakkı şikâyetleri için aslında uygun bir süreç değil
- Dikkatsizlik açıklamasının, bu prosedür kullanılmadan önce yeterince özen gösterilmediği anlamına da geldiğini söyledi
- Senk, haksız kaldırma bildirimiyle ilgili olarak CrowdStrike’a karşı yasal işlem başlatmayı planlamadığını belirtti
- CrowdStrike kamuoyu önünde özür dilerse bundan %100 memnun olacağını, hatta CrowdStrike CEO’su George Kurtz’un palyaço kostümü giyip bir özür videosu çekmesinin daha da iyi olacağını esprili şekilde söyledi
1 yorum
Hacker News yorumları
Yaklaşık 20 yıl önce bir site yapmıştım; şu anda https://whatisbifidusregularis.org/ adresinde. O dönemde Dannon / Danone tarafından dava açmakla tehdit edildim; ilk domain’i marka hakkı nedeniyle devretmek zorunda kaldım ama ondan önce Google’ın değişikliği yakalaması için 301 yönlendirmesi koymuştum.
DMCA öncesinin daha saf zamanlarıydı; şirketler avukatsız şekilde ISP’lerle iletişime geçip bir şeyleri engelletmenin yolunu pek bilmiyordu. Ben de Danone’un muhtemelen çok pahalı avukatıyla epey uzun bir e-posta trafiğinin keyfini çıkardım.
Aslında reklamlarda kendi harika bakterilerine “Bifidus Digestivum” demeleri o kadar gülünçtü ki sinirlenip bifidusdigestivum.com’da bir site kurdum; aramada iyi görünmesi için elimden geldiğince araştırıp yazdım ki arayan kişi benim sitemi bulsun. Sonrasında görüntülenme sayısı yaklaşık 1,5 milyon oldu ve hâlâ ayda 400-500 ziyaret var; ara sıra aklıma gelince gülüyorum.
Yine de olumsuz yorumlar da aynı anda durduğuna göre, belki de 10 yıl önce insanlar yoğurda daha tutkuyla bağlıydı.
Senk, kaldırma talebinin saçma olduğunu hemen hissetti; sitenin açıkça parodi olması nedeniyle CrowdStrike logosunun değiştirilmiş şekilde kullanılmasının da adil kullanım sayılması gerektiğini düşündü. Cloudflare’e derhal itiraz etti, ancak Cloudflare karşı bildirim aldığını doğrulamadı bile; sadece ikinci bir ihlal uyarısı e-postası gönderdi.
Cloudflare’i genel olarak seviyorum ve iyi bir aktör olduğunu düşünüyorum, ama bunun mutlaka düzeltilmesi gerekiyor. DMCA sistemi zaten küçük tarafın aleyhine eğilmiş durumda; Cloudflare gibi barındırma sağlayıcılarının en azından yapması gereken şey iki tarafı da dinlemek. İdeal olarak tarafsız bir arabulucu olmalılar.
Cloudflare’i yoğun kullanıyorum ve her ay epey ödeme yapıyorum, ancak gerçek içeriği CF üzerinde barındırmanın doğru olup olmadığı konusunda tereddüt etmeme neden oluyor. Doğrudan bir DMCA kaldırma talebiyle hiç karşılaşmadım ama bu sürecin kötüye kullanıldığı insanları tanıyorum ve herkesin başına gelebilir.
Cloudflare’in sorunun bir parçası olmamasını istiyorum. Daha açık bir web’i, küçük bireylerin de işletebildiği bir web’i uzun zamandır savundu; böyle üreticileri mümkün kılan şirketler arasında neredeyse en iyilerinden biriydi. Bu yüzden DMCA zorbalarına yardım etmemeli ya da onları mümkün kılmamalı.
Ayrıca yanlış DMCA kaldırma bildirimi yaptığı için ceza davasına konu olan bir şirketi bildiğim kadarıyla hiç görmedim; muhtemelen niyeti kanıtlamak gerektiği içindir. Yasa gülünç derecede küçük tarafın aleyhine.
Ne kadar çok siyasi eylem yaparsa Cloudflare’e zararı o kadar büyük olur.
Üstelik Cloudflare’in tekrar tekrar CAPTCHA istemesi inanılmaz derecede sinir bozucu; bu tür uygulamaların bir tür kötüye kullanım olarak adlandırılması gerekir.
Sahte DMCA bildirimlerine karşı mücadele edecek kadar hukuku ucuza öğrenmenin mümkün olup olmadığını merak ediyorum. Emülasyon tarafında, ürünün kendisi teknik olarak yasal olsa bile projeyi barındıranların savunma masrafları yüzünden batacağını bildikleri için sonunda kapandığını sıkça görüyoruz
Keşke oyunu tersine çevirip N gibi yerlere “Tamam, devam edin. Hukuk ekibinizle dağ gibi parayı yakın bakalım” diyebilsek
Kimliğin zaten açıksa, prosedürü öğrendikten sonra pek bir dezavantajı yok
Hukuk özünde şirketlerin lehine. ABD'deki sıradan insanların bırak hukuk ekibini, avukatı bile yok; ama şirketlerin, haksız olsalar bile karşı taraf vazgeçene ya da parası bitene kadar ispat sürecini uzatabilecek fiilen sınırsız kaynakları var
Yazının yazarının dediği gibi, ABD hukuk sisteminin önemli bir kısmı oldukça açık biçimde şirketler için tasarlanmış
ClownStrike haber olmasaydı CrowdStrike, Hetzner'e de aynı DMCA hilesini denemeye devam etmiş olabilirdi
İlkinin örneği njalla gibi yerlerdir ve 5-10 kat pahalı oldukları için genelde kullanılmazlar; gerçekten yaygın kullanılan Hetzner veya Cloudflare ise daha çok ikinci gruba yakındır
Geçerli olması için abonenin fiziksel veya elektronik imzası, kaldırılan ya da erişimi engellenen materyal ve önceki konumu, bunun hata veya yanlış tanımlama sonucu kaldırıldığına dair iyi niyetli inancı yalan beyanda bulunma cezası şartıyla belirten beyan, ad-soyad, adres, telefon numarası, yetkili federal mahkemenin yargı yetkisini kabul ve tebligatı kabul edeceğine dair beyan gibi şeyler gerekiyor
Ancak hizmet sağlayıcının DMCA güvenli liman hükmüne girebilmesi için karşı bildirimi aldıktan sonra içeriği en az 10, en fazla 14 gün indirilmiş halde tutması gerekiyor. İlk bildirim sahibi, ihlalle ilgili dava açtığına dair ek bildirim gönderirse, olay çözülene kadar içerik indirili kalmaya devam ediyor
Çoğu durumda 10-14 günlük kesinti bile çok uzun ve şikâyetçiye ya da sağlayıcıya kimlik bilgilerini vermek istemeyebilirsiniz. İyi niyetli inancı yalan beyanda bulunma cezası şartıyla beyan etmek de yük olabilir
İlk bildirim sahibi mahkemeye kadar gitmek isterse zahmetli bir yol; sadece toplu DMCA gönderip devamını getirmiyorsa sorun olmayabilir. Tersine, onları mahkemeye ben götürmeye çalışsam da yine zahmetli bir yol
Sağlayıcıyı, ilk bildirimin yapısal olarak geçerli bir DMCA bildirimi olmadığına ikna etmek de mümkün olabilir; ama bunun için işbirliğine açık bir sağlayıcı gerekir. Bu olay, sadece özete bakınca, marka hakkı ihlalinin DMCA ile ileri sürüldüğü potansiyel bir örnek gibi görünüyor; oysa DMCA marka haklarını kapsamaz, dolayısıyla yapısal olarak geçerli değildir. Sağlayıcının bunu işleme alma yükümlülüğü de yoktur, işleme alsa da güvenli liman koruması elde etmez. Marka hakkı şikâyeti için işlem yapma yükümlülüğü olabilir, ama bu DMCA'dan doğan bir yükümlülük değildir
[1] https://www.law.cornell.edu/uscode/text/17/512 section (g)(3)
Sahte DMCA bildirimine imza atan her mahkeme görevlisi yeminini ihlal eder ve disiplin cezasına tabidir. Bazı eyaletlerde barratry denen bir medeni haksız fiil kapsamına da giriyor gibi
Normalde bu tür hikâyeler, barındırma şirketinin DMCA kaldırma taleplerine mümkün olduğunca hızlı yanıt verme konusunda hukuki yükümlülüğü olduğu, bu yüzden öfkelenmeyi bırakmak gerektiği şeklinde ilerler
Ama bu kez Cloudflare, parodi sitesinin işletmecisinin gönderdiği 2 karşı bildirimi almadığını iddia etti; o hizmeti taşıdıktan ve olumsuz ilgi doğduktan sonra da “yardımcı olurduk” minvalinde zayıf bir yanıt gönderdi. Bayağı fena çuvalladılar
Digital Millennium Copyright Act ile marka hakkı uygulamaya çalışmak saçma; yanıtlara bakılırsa aynı numarayı başka 500 web sitesinde de kullanmışlar ve hiçbir yaptırım olmamış gibi görünüyor
Şirketlerin DMCA kaldırma taleplerine verilen tepkileri görüp her şeyi DMCA kaldırma talebine sıkıştırmaya çalışmasından nefret ediyorum. Bunu sadece atlatmayı önleme hükümlerinden kaçınmak için kullanmaları bile yeterince kötüydü; marka hakları ise bambaşka kanunların alanı
Şirketlerin Streisand etkisini neden illa yaşayarak öğrenmek zorunda kaldığını anlamıyorum
Bu düşük emekli parodi sitesinin normalde varlığından bile haberim olmazdı; haberim olsa da kalitesi düşük olduğu için paylaşmazdım
Ama artık bu siteyi %100 destekleyip yaymakla ilgileniyorum. Belli ki birilerinin sinirine dokunmuş
O dönemdeki tartışma 5 gün önce itibarıyla 1221 puan ve 229 yorumdaydı https://news.ycombinator.com/item?id=41133917
“Apparently, Cloudflare never received” kısmı, bu olayın etrafındaki diğer her şeyden çok daha büyük bir sorun
“Senk, Ars'a ‘merkeziyetsizleşmenin savunucusuyum’ dedi.” cümlesi, siteyi Cloudflare'a koyan birinden bahsedildiği için komik geliyor
Bu durumda, mevcut teknolojiyi kullanarak siteyi hızlı ve güvenilir biçimde yayına almak istemişse ya da Cloudflare'ın geçmişteki tutumlarına dayanarak sitesini gerçekten güçlü şekilde savunacağına inanmışsa bunu anlayabilirim
“Apparently, Cloudflare never received” ifadesi, bu olayın etrafındaki diğer her şeyden çok daha büyük bir sorun