CrowdStrike hissedarları, siber güvenlik firmasının teknolojisinin bütünlüğü hakkında önemli ölçüde yanlış ve yanıltıcı beyanlarda bulunduğunu iddia ettikleri bir davayı Amerika Birleşik Devletleri’nde açtılar. Ayrıca CrowdStrike’ın, yazılım testine yetersiz ilgi gösterilmesinin dünya çapında milyonlarca bilgisayarın çökmesine neden olan 19 Temmuz olayına yol açabileceğini örtbas ederek onları dolandırdığını iddia ediyorlar.
Soruşturmanın şu anda bilinen gerçeklerine dayanarak, kesinti, hata içeren otomatik içerik doğrulayıcısı tarafından başlatılması için onaylanan CrowdStrike Falcon yönetilen algılama ve yanıt (MDR) sensörüne yapılan hatalı bir güncellemeden kaynaklandı. Duyarlı Windows sistemlerine çarptığında, ölümcül bir çökmeye yol açan sınır dışı bir bellek durumuna neden oldu.
Sekiz milyondan fazla bilgisayarı etkileyen çökmeler sonucunda havacılık, eğitim, finansal hizmetler, sağlık ve perakende gibi çeşitli sektörlerdeki kuruluşların faaliyetleri sekteye uğradı ve havayolları, özellikle ABD’deki Delta Air Lines, çok kötü etkilendi.
Sigorta şirketi Parametrix, yalnızca Fortune 500 şirketlerinin 5,4 milyar dolardan fazla kaybedeceğini, diğerleri de hesaba katıldığında olayın maliyetinin 15 milyar doları aşabileceğini tahmin ediyor.
Austin’deki Teksas Batı Bölgesi ABD Bölge Mahkemesi’nde yapılan başvuruda, New Yorklu hukuk firması Labaton Keller Sucharow tarafından temsil edilen Massachusetts merkezli emeklilik ve yan haklar sağlayıcısı Plymouth County Retirement Association, CrowdStrike CEO’su George Kurtz ve diğerlerinin de aralarında bulunduğu sanıkları, yatırımcılara Mart 2024’teki kazanç görüşmesinde tamamen “doğrulandığı, test edildiği ve sertifikalandırıldığı” konusunda güvence verirken Falcon platformunun etkinliğini tekrar tekrar övmekle suçluyor.
Fonun şikayetinde, CrowdStrike’ın Falcon güncelleme prosedüründe “eksik kontroller” uyguladığını ve bunları kullanıma sunmadan önce uygun şekilde test etmediğini açıklamadıkları için bu ifadelerin yanlış ve yanıltıcı olduğu iddia ediliyor.
Davada ayrıca bu “yetersiz” yazılım testinin, Falcon güncellemesinin Temmuz ayında görülen türden ciddi bir kesintiye neden olma riskini önemli ölçüde artırdığı ve bu kesintilerin “önemli itibar kaybı ve hukuki risk” yaratabileceği ve yarattığı ileri sürülüyor.
Davacı, sonuç olarak bunun, küresel piyasalarda ağır darbe alan CrowdStrike hissesinin “yapay olarak yüksek fiyatlardan” işlem görmesine yol açtığını söylüyor.
CrowdStrike sözcüsü medyaya yaptığı açıklamada, “Davanın haklı olmadığına inanıyoruz ve şirketi şiddetle savunacağız.” dedi.
Delta patronu: Dava açmaktan başka seçeneğimiz yok
Bu arada, Delta da dahil olmak üzere diğerleri de olayın ardından CrowdStrike’a karşı yasal davalar açıyor. Delta, daha önce 1990’larda bir anti-tröst davasında Microsoft’a karşı mücadele etmiş ve eski başkan yardımcısı Al Gore’un 2000 Florida oy sayımına yönelik itirazlarında baş avukat olarak görev yapmış olan yıldız avukat David Boies’i işe aldı.
31 Temmuz’da ABD’li televizyon kanalı CNBC’ye konuşan Delta CEO’su Ed Bastian, tüm sistemlerinin artık çalıştığını ancak yaşanan deneyimin “korkunç” olduğunu belirterek, Paris Olimpiyatları’na giden Amerikalı sporcular ve personel de dahil olmak üzere etkilenen yolculardan tekrar özür diledi.
“İkisiyle de ağırız [Microsoft and CrowdStrike]Bastian, “Her ikisinde de sektörde açık ara en ağır yükü taşıyan biziz ve bu nedenle kurtarma kabiliyeti açısından en çok etkilenen biz olduk” dedi.
Bastian, hem CrowdStrike’ın hem de Microsoft’un siber güvenlik alanında rekabet ettiğini, ancak ortak müşterilerin umduğu kadar etkili bir şekilde ortaklık kurmadıklarını ve olayın, teknoloji şirketlerini sorumlu iş birliği konusunda sıkıştırmaları için kuruluşlara bir çağrı olduğunu söyledi.
“Bu bize yarım milyar dolara mal oldu” diyen şirket, Delta’nın neredeyse bir hafta boyunca mahsur kalan binlerce yolcuya tazminat ödemek ve geçici otel konaklaması sağlamak için her gün önemli miktarda harcama yaptığını belirterek dava açmaktan başka “seçeneği” olmadığını söyledi.
“Teknoloji açısından Delta ekosistemine öncelikli erişiminiz olacaksa, bu şeyleri test etmeniz gerekir. Görev açısından kritik bir 7/24 operasyona gelip bize bir hatamız olduğunu, bunun işe yaramadığını söyleyemezsiniz,” dedi.