İş Sürekliliği Yönetimi / Olağanüstü Olağanüstü Kazanma, Yönetişim ve Risk Yönetimi, Dava
Georgia Court, sahtekarlık iddialarına izin veriyor, Falcon yazılım güncellemesi üzerinden izinsiz giriş
Michael Novinson (Michaelnovinson) •
20 Mayıs 2025
Bir Gürcistan hakimi, Delta’nın havayolunu günlerce sakatlayan hatalı CrowdStrike yazılım güncellemesi ile ilgili davalarının çoğuna devam etmesine izin verecek.
Ayrıca bakınız: Ondemand I Panel Bulutta Uyum ve Güvenlik Zorluklarını ele alma konusundaki tartışma
Atlanta merkezli havayolu, Crowdstrike’in Delta’nın izni olmadan yazılım güncellemesini zorladığını, Microsoft’un sertifikasını atladığını ve sistemlerini çarpan çekirdek düzeyinde kodda bir programlama hatası getirdiğini söyledi. Crowdstrike, güncellemeyi zorlamanın sözleşme yetkisine sahip olduğunu ve güncelleme sorunlarına neden olduktan sonra sorumlu bir şekilde hareket ettiğini, hızla geri döndüğünü ve iyileştirme sunduğunu savunuyor.
Fulton İlçe Yüksek Mahkemesi Hakimi Kelly Lee Ellerbe Cuma günü yaptığı açıklamada, “Delta için en uygun ışıktaki iddiaları yorumlayarak, ağır ihmal iddiasının devam etmesine izin vermek için yeterli bağımsız bir görev yaratabilecek gizli bir ilişkinin varlığını iddia etti.” Haziran 2022’den önce yapılan temsillere dayalı sahtekarlık iddialarını reddetti, ancak Delta’nın kalan iddialarının devam etmesine izin verdi.
Quinstrike’in Quinstrike’in dış danışmanı Michael Carlinsky, Bilgi Güvenliği Media Grubu’na e-postayla gönderilen bir açıklamada, “Birkaç Delta iddiasının reddedilmesinden memnunuz ve geri kalanının tek haneli milyonlarca dolar ile sözleşmeli olarak sınırlandırılacağından ya da liyakatsiz bulunacağından eminiz.” Dedi.
Delta, sorunun sadece bir ürün hatası olmadığını, profesyonel yazılım uygulamasının dökülmesi, dağıtım öncesi testi olmadan, aşamalı sunum, geri alma kapasitesi ve onu engellemesi gereken ayarlara rağmen itilen bir güncelleme olmadan iddia ediyor. Crowdstrike, mahkemeden güncelleme 78 dakika içinde geri çekildiğinden ve şirket bir kök neden analizi paylaştığı için bunu bir hata olarak görmesini istedi.
Mahkeme, Delta’nın pozisyonunu güvenilir olarak kabul etti ve uygun yetkilendirme veya doğrulama olmadan çekirdek düzeyinde kodun teslimatının, olağan hizmet başarısızlığında sorunları gündeme getirdiğini belirtti. Ellerbe, Delta’nın sadece sözleşmenin ihlali ötesinde iddialara devam etmesine izin verdi ve iddia edilen zararın ciddiyetini ve benzersizliğini kabul etti.
Bir Delta sözcüsü, Bilgi Güvenliği Medya Grubu’na e -postayla gönderilen bir açıklamada, “Karardan memnunuz ve CrowdStrike’a karşı iddialarımızın esasına güveniyoruz.” Dedi.
Hakim iddialara nasıl düştü?
Delta, sistem yapılandırmasının CrowdStrike’ın Falcon platformundan otomatik güncellemeleri açıkça yasakladığını iddia etti, bu da kritik altyapıya sadece denetlenmiş ve yetkili değişikliklerin yapıldığından emin olmak için kasıtlı olarak uygulandığı bir koruma. Havayolu, Crowdstrike’ın yazılımına Microsoft’un sertifika sürecini atlayan yazılımına gizlice “ayrıcalıklı çekirdek seviyesi kapısı” yı yerleştiğini iddia ediyor.
Crowdstrike, sadece Haziran 2022 Abonelik Hizmetleri Anlaşması kapsamında faaliyet gösterdiğini ve bu da Delta’nın hizmetleri sunmak için gerektiği gibi erişmesine izin verdiğini söyledi. CrowdStrike’ın bakış açısından, Temmuz 2024 güncellemesi, sözleşme tarafından kurulan devam eden dinamik ilişkinin bir parçasıydı.
Ancak Ellerbe, yetkinin anlaşmaya uygun olarak kullanılması gerektiğini belirtti. Delta otomatik güncellemelerden vazgeçtiğinden, bu tercihlere rağmen verilen güncellemeler yetkisiz olarak kabul edilebilir. Bu, Delta’nın bilgisayar izinsizliği iddialarının ve kişisel olarak devam etmek için izinsiz girmeye izin verdi.
Ellerbe, 45 sayfalık bir sırayla, “Her yeni ‘içerik güncellemesi’ ‘Delta, Microsoft OS özellikli bilgisayarlarının çekirdek seviyesinde çalışan doğrulanmamış ve yetkisiz programlama ve veriler alacaktı.” “Delta’ya göre Crowdstrike, incelemeden kaçınmak için bu uygulamaları ve diğer müşterilerden sakladı.”
Delta, Crowdstrike’ın çok ihmalkar yazılım tasarımı ve geliştirme ile uğraştığını, güvenlik üzerindeki hızın seçilmesini ve veterinerlemeyi atlayan bir çekirdek güncelleme boru hattı oluşturduğunu iddia etti. Crowdstrike, Delta’nın ticari rahatlık için bilinen riskleri görmezden gelmek için bilinçli bir kararı yansıttığını söyledi.
Crowdstrike, olgun yazılım ortamlarında bile hataların gerçekleştiğini, Temmuz 2024 sayısının dahili doğrulama protokollerinden ve çoklu test katmanlarından kaçtığını savundu. Ancak mahkeme, Delta’nın iddialarının – özellikle Crowdstrike’ın güncellemeyi bir kez bile test etmediği ve Microsoft güvenlik prosedürlerini kasıtlı olarak atlattığı iddiasının, büyük bir ihmal iddiasını desteklemek için yeterli olduğuna karar verdi.
Ellerbe, “Delta, Crowdstrike’in Temmuz güncellemesini aşamalı olarak konuşlandırılmadan müşterilerinin çoğuna itibarsız bir şekilde ittiğini iddia etti.” “Evreli dağıtım ile yeni bir güncelleme önce küçük bir ve daha sonra kademeli olarak artan sayıda müşteri olarak yayılır, böylece bir güncelleme geniş ölçüde dağıtılmadan önce hatalar tespit edilebilir. Delta, aşamalı dağıtımların ‘temel ve standart yazılım geliştirme uygulaması’ olduğunu ileri sürer.”
Crowdstrike’in zemin kazanmaya çalıştığı yer
CrowdStrike’ın birincil yasal savunmalarından biri, tarafların tamamen finansal ve başarısız bir sözleşmeden kaynaklanan kayıplara dava açmasını engelleyen ekonomik kayıp kuralına dayanıyordu. Crowdstrike, Delta’nın iddialarının sadece sözleşme şikayetlerini ihlal etmesinin bir yeniden çerçevesi olduğunu savundu – zararlarının tamamen ekonomik olduğunu ve Haziran 2022 Abonelik Hizmetleri anlaşmasının çözüm için doğru yer olduğunu savundu.
Delta, iddialarının sadece kayıp gelirle değil, aynı zamanda yetkisiz erişim, yasal ihlaller ve bağımsız görevlerle ilgili olduğunu söyledi. Crowdstrike ile olan ilişkisi o kadar gömülü ve güvene dayalı, gizli bir ilişki vardı, dedi Delta, sözleşme yükümlülüklerini aşan görevleri uygulayarak.
Mahkeme, bilgisayar izinsiz girişi gibi yasal görevlerin sözleşmeden bağımsız olduğuna karar verirken, sahtekarlık ve ağır ihmalin haksız fiil istisnaları olduğuna karar vermiştir. Gizli bir ilişkinin var olup olmadığı, işten çıkarılma konusu değil, yargılanma konusudur, Ellerbe hüküm sürdü.
“Genel bir konu olarak,”[t]Ekonomik kayıp kuralı]tamamen ekonomik kayıpları olan bir sözleşme partisinin, haksız fiilde değil, sözleşmede çözümünü araması gerektiğini öngörüyor, “diye yazdı Crowdstrike, Delta’ya verilen ürün veya hizmetlerle ilgili herhangi bir görevi savunuyor ve bu nedenle Delta, sözleşme anlaşmazlıklarını cazibe iddialarına kabul edilemez bir şekilde dönüştürdü.”
Delta, Crowdstrike’ın davranışının sadece abartı veya gerçekleştirilemediğini, ancak ihmal yoluyla hileli teşvik ve yanlış beyan olmadığını savundu. Crowdstrike, Delta’nın sözleşmeyi korurken sahtekarlık için dava açamayacağını ve Delta’nın teşvikte sahtekarlık talep etmek için sözleşmeyi iptal etmesi gerektiğini savundu.
Mahkeme, sözleşme öncesi beyanlara dayalı sahtekarlık iddialarının yasaklandığına karar vermiştir, ancak abonelik hizmetleri sözleşmesindeki sahtekarlık iddialarının kendisi veya yanlış gerçekleştirme niyetine dayanarak uygulanabilir. Özellikle, Delta’nın Crowdstrike’ın asla “arka kapı yok” garantisine uymayı amaçlamadığı iddiası devam edebilir. Mahkeme ayrıca ihmal iddialarıyla sahtekarlık yapmasına izin verdi.
“Belirli koşullar, ‘Delta’nın işinin en hassas kısımlarına mutlaka dokunan Crowdstrike’ın siber güvenlik hizmetlerinin doğası gereği iletişim kurma görevine yol açıyor, Ellerbe yazdı.”