CrowdStrike ने पैरोडी साइट हटाने की कोशिश की
(clownstrike.lol)- ClownStrike.lol के संचालक ने कहा कि CrowdStrike ने CSC Global प्रतीत होने वाली “Clown Services Company” के माध्यम से Cloudflare को बिना आधार वाला takedown notice भेजा, और चूंकि साइट एक पैरोडी है, इसे चलाते रहेंगे
- यह साइट CrowdStrike outage का व्यंग्य करने के लिए बनाई गई थी, और संचालक ने आलोचना की कि इस outage से एयरलाइन यात्रियों के लाखों लोग प्रभावित हुए और अरबों डॉलर का नुकसान हुआ
- संचालक ने तर्क दिया कि DMCA का इस्तेमाल करके trademark infringement का मुद्दा उठाकर पैरोडी साइट को हटाने की कोशिश अनुचित है, और पैरोडी, आलोचना, समाचार रिपोर्टिंग और शिक्षा जैसी चीजें fair use में आती हैं
- इसके बाद Cloudflare, Fortinet और CRDF के साथ टकराव जारी रहा; Fortinet ने लगभग 6 घंटे बाद phishing classification ठीक की, जबकि CRDF ने malicious classification को 8 मिनट में सुधार दिया
- गैर-व्यावसायिक पैरोडी साइटें भी कंपनियों की हटाने की मांगों और सुरक्षा कंपनियों की गलत वर्गीकरण का शिकार हो सकती हैं, और आपत्ति व counter notice प्रक्रिया संचालक पर काफी बोझ डालती है
CrowdStrike के takedown notice और ClownStrike.lol की प्रतिक्रिया
- ClownStrike.lol के संचालक ने कहा कि CrowdStrike ने CSC Global के जरिए Cloudflare को साइट हटाने का नोटिस भेजा
- संचालक ने कहा कि CrowdStrike को पैरोडी साइट पसंद न हो, यह समझा जा सकता है, लेकिन बिना आधार वाले नोटिस से साइट हटवाने की कोशिश करना अनुचित था
- 31 जुलाई 2024 सुबह नोटिस मिलने के बाद, 1 अगस्त 2024 सुबह Cloudflare को जवाब भेजा गया, और कहा गया कि Cloudflare से साइट हट भी जाए तो भी इसे इंटरनेट पर बनाए रखेंगे
- Cloudflare ने 2 अगस्त 2024 सुबह फिर संपर्क किया, और संचालक ने उसी दिन दोबारा जवाब दिया
- 5 अगस्त 2024 दोपहर Cloudflare ने सार्वजनिक दबाव बढ़ने के बाद जवाब दिया, और संचालक ने भी उसी दिन फिर उत्तर दिया
पैरोडी और fair use को लेकर जवाब
- संचालक ने कहा कि यह साइट CrowdStrike outage का व्यंग्य करने वाली स्पष्ट पैरोडी है, और कोई भी समझदार व्यक्ति इसे उसी रूप में पहचान सकता है
- उन्होंने कहा कि साइट का कोई व्यावसायिक उपयोग नहीं है, कोई उत्पाद नहीं बेचा जाता, और किसी भी तरीके से इससे पैसा नहीं कमाया जाता
- DMCA एक copyright law है, इसलिए इसका उपयोग करके trademark infringement के आधार पर पैरोडी साइट हटाने की कोशिश अनुचित है
- उन्होंने जोर दिया कि पैरोडी, आलोचना, रूपांतरित रचनाएँ, समाचार रिपोर्टिंग/पत्रकारिता और शिक्षा में trademark और copyrighted works के उपयोग के लिए fair use महत्वपूर्ण है
- उन्होंने 15 U.S. Code § 1125 (c)(3)(c) में दिए गए “Any noncommercial use of a mark” अपवाद का भी हवाला दिया
DMCA प्रक्रिया से संचालक पर पड़ने वाला बोझ
- संचालक ने आलोचना की कि DMCA का उपयोग कंपनियाँ अपनी असहमति वाले वैध content को हटाने के लिए करती हैं, और EFF लेख को लिंक किया
- उन्होंने कहा कि DMCA service providers से उल्लंघनकारी सामग्री को तेजी से हटाने या उसकी पहुँच निष्क्रिय करने को कहता है, लेकिन counter notice आने पर access बहाल करने के लिए 14 दिन तक की अनुमति देता है
- उन्होंने इस ढांचे की आलोचना की कि अमेरिका के कई कानूनों की तरह यह भी वास्तविक नागरिकों की तुलना में कंपनियों के पक्ष में झुका हुआ है
- उन्होंने यह भी जोड़ा कि CrowdStrike के खिलाफ मुकदमे में जीतना marketing के लिहाज से अच्छा होगा
CrowdStrike outage का व्यंग्य करने का संदर्भ
- संचालक ने CrowdStrike की आलोचना की कि उसने वैश्विक IT outage पैदा किया, और कई रिपोर्टों व संस्थागत अलर्ट के लिंक दिए
- लिंक की गई सामग्रियों में CNN, TechCrunch, Ars Technica, CNBC, New York Times, CISA, TechTarget आदि के CrowdStrike outage से जुड़े स्रोत शामिल थे
- Ars Technica के एक लिंक में बताया गया कि CrowdStrike recovery “अधिकतम 15 reboots” से शुरू होकर और अधिक जटिल हो जाती है
- एक Ars Technica लिंक में यह भी शामिल था कि Microsoft ने CrowdStrike BSOD से प्रभावित systems की संख्या 8.5 million बताई
CRDF की malicious classification और तेज सुधार
- 9 अगस्त 2024 अपडेट में संचालक ने कहा कि उन्हें CRDF से संदेश मिला कि ClownStrike.lol को malicious के रूप में वर्गीकृत किया गया है
- संचालक ने आलोचना की कि CRDF के रिपोर्ट फॉर्म में आक्रामक भाषा शामिल थी
- उन्होंने यह भी मुद्दा उठाया कि CRDF की शर्तों में रिपोर्ट जमा करने के लिए CRDF को indemnify करने की मांग की जाती है
- इसके बावजूद उन्होंने रिपोर्ट जमा की, और 8 मिनट बाद CRDF ने जवाब देकर malicious classification ठीक कर दी
- संचालक ने जोड़ा कि शुरू में साइट सूची में क्यों डाली गई, यह अब भी स्पष्ट नहीं है
Fortinet की phishing classification और आपत्ति
- 7 अगस्त 2024 अपडेट में कहा गया कि Fortinet ने ClownStrike.lol को phishing के रूप में वर्गीकृत किया
- संचालक ने FortiGuard web filter से जुड़ा पेज देखा और आपत्ति दर्ज कराने की कोशिश की
- पहले चुना गया Appeal a blocked Spam IP, URL or Email address मार्ग एक समय खाली पेज या HTTP 500 error लौटा रहा था
- बाद में फॉर्म फिर काम करने लगा, और Fortinet ने जल्दी जवाब दिया, लेकिन अलग submission path सुझाया
- Submit a change for a web filter incorrectly rated site वही फॉर्म निकला जिसे वे पहले ही इस्तेमाल कर चुके थे, जबकि Report a problem with Malicious URL classification एक अलग फॉर्म था
- Fortinet ने लगभग 6 घंटे बाद जवाब दिया और phishing classification ठीक कर दी
- संचालक ने कहा कि Fortinet ने शुरुआत में phishing चिह्नित करने का कारण नहीं बताया, और आपत्ति प्रक्रिया भी झंझटभरी थी, हालांकि अपेक्षाकृत समय पर सुधार करने की बात उन्होंने मानी
Cloudflare abuse portal की खोज
- 22 फ़रवरी 2026 अपडेट में संचालक ने पाया कि Cloudflare dashboard में abuse portal जोड़ा गया है
- उन्होंने कहा कि यह ClownStrike.lol घटना की वजह से हुआ या नहीं, यह पता नहीं है
- यह वास्तव में काम करता है या नहीं, यह भी स्पष्ट नहीं, और उन्होंने उम्मीद जताई कि उन्हें इसका इस्तेमाल न करना पड़े
- फिर भी, उन्होंने कहा कि यह email black hole की तुलना में सुधार है, या कम से कम सुधार की कोशिश जैसा लगता है
1 टिप्पणियां
Hacker News की राय
संदर्भ के लिए, CSC ऐसी कंपनी है जिसे दूसरी कंपनियां अपनी ओर से प्रशासनिक काम संभालने के लिए नियुक्त करती हैं
बहुत मुमकिन है कि आपकी कंपनी भी Delaware राज्य में registered agent के तौर पर CSC का इस्तेमाल करती हो, और CSC की मुख्य भूमिका कागजों पर मौजूद रहना और annual forms जमा करना भर है ताकि अमेरिका में कंपनी के अस्तित्व के लिए जरूरी legal और compliance जरूरतें पूरी रहें
मुझे नहीं पता था कि वे कंपनी की ओर से DMCA requests भी भेजते हैं; यह उनकी सामान्य छवि से थोड़ा मेल नहीं खाता लगा
लेकिन खोजने पर पता चला कि CSC के पास Online Brand Protection service है: https://www.cscdbs.com/en/brand-protection/
ऐसा लगता है कि संभव है CrowdStrike incident से इंटरनेट ठप हुआ, CrowdStrike ने brand protection guarantee शामिल वाली cyber insurance claim की, CrowdStrike या insurance company ने CSC जैसी brand protection service खरीदी, और नतीजतन इस व्यक्ति को takedown request मिली
शुरुआत में मैं CSC का बचाव करने के लिए लिखना शुरू कर रहा था, लेकिन खोजने पर लगता है कि CSC की brand protection service ही वजह है। CrowdStrike ने अपना brand “protect” करने के लिए पैसे दिए, लेकिन उल्टा असर हो रहा है और इस site का traffic ही बढ़ रहा है
इससे शायद वे उन users के प्रति थोड़ी सहानुभूति महसूस करें जिन्होंने अपनी infrastructure protect करने के लिए CrowdStrike service खरीदी थी
CrowdStrike के अंदर किसी ने “हां, इस मामले में takedown भेजो” कहकर approve किया होना चाहिए
यह निष्कर्ष CSC brand protection इस्तेमाल करने वाली जगह पर काम करने के अनुभव पर आधारित है
https://who.is/whois/clownstrike.com
सोचता हूं कंपनियां इस तरह के enforcement actions से होने वाले reputation damage को कितना ध्यान में रखती हैं
हाल में एक छोटे biotech startup की जानकारी खोजते समय मुझे यह दिखा: https://udrp.adr.eu/decisions/detail?id=65fab3e46fc02956a01040a9
आगे जब भी उस company का नाम सुनूंगा, शायद यह घटना सबसे पहले याद आएगी
ऊपर से वह trademark उस व्यक्ति द्वारा अपना नाम इस्तेमाल करना शुरू करने के बाद register हुआ था
यही अपने-आप में पर्याप्त evidence है कि UDRP बहुत अन्यायपूर्ण है और इसे खत्म होना चाहिए
“first come, first served” इस बकवास से कहीं ज्यादा fair है कि “burden of proof defendant पर है”
किसी दिन ICANN को किसी बेहतर चीज से replace करना होगा
अच्छा हुआ Christian जीता, और दूसरी तरफ वाले मूर्ख लगते हैं
हालांकि एक सवाल भी उठता है। मेरे पास बहुत समय से arp242.net है, और यह जाहिर है कि मेरा real name नहीं है। क्या कोई company “arp242” को trademark के रूप में register करके मेरा domain छीन सकती है?
https://en.m.wikipedia.org/wiki/Streisand_effect
CrowdStrike को बता दूं, इस घटना से आपने अपने brand को अतिरिक्त और व्यापक नुकसान पहुंचाया है, और संभव है कि उन लोगों को और हिम्मत दी हो जो lawsuit करने में हिचक रहे थे
अनैतिक व्यवहार और DMCA abuse आखिरकार CrowdStrike को सजा दिलाने के लिए इस्तेमाल होगा
अगर ClownStrike को हटाने में सफल हो गए, तो और ज्यादा नफरत कमाएंगे
अपने brand, reputation, customers और industry के trust और goodwill को चकनाचूर करने की प्रक्रिया का आनंद लीजिए
कहीं ऐसा तो नहीं कि CrowdStrike बाद में clownstrike नाम से rebrand करके reputation damage से बचना चाहता हो, इसलिए अभी attack कर रहा है?
यही वजह है कि content और readers के बीच intermediaries को जितना हो सके कम करना चाहिए
आदर्श स्थिति यह है कि आपके पास अपना ASN, contracted line और अपने physical servers हों। तब takedown का target सिर्फ upstream bandwidth provider होगा
इसके बाद hosting provider, edge cache/firewall provider, commercial CMS जैसे targets एक-एक करके बढ़ते जाते हैं। इसलिए बीच के points बहुत सोच-समझकर चुनने चाहिए
commercial CMS चुनने पर आप आसान target बन जाते हैं, और Cloudflare चुनने पर भी ऐसा ही लगता है
fair use के सवाल से अलग, DMCA trademark disputes पर लागू नहीं होता
मैं CSC को अच्छी तरह जानता हूँ, और उनसे कई नकली DMCA takedown requests मिल चुकी हैं।
वे आम तौर पर इन्हें DMCA जैसा दिखाते हैं, लेकिन कई बार लोगो copyright (c) नहीं बल्कि trademark (TM) होता है। इसलिए वे DMCA नहीं भेज सकते।
मूल रणनीति है इंटरनेट पर नकली DMCA बड़ी मात्रा में फैलाना और ब्रांड के लिए सकारात्मक न दिखने वाली हर चीज़ को निशाना बनाना।
मैंने इन requests को 100% ignore किया है और अब तक कुछ नहीं हुआ। यह ध्यान रखना चाहिए कि वे ऐसी requests लाखों की संख्या में भेजते हैं।
इस पोस्ट के upvotes देखकर लगता है CrowdStrike ने बड़ी PR गलती की है।
अभी तो नकारात्मक ध्यान को मोड़ना भी उनके लिए अच्छा हो सकता है।
Cloudflare के वकीलों को CrowdStrike से साफ कह देना चाहिए था कि दफा हो जाओ।
DMCA के copyright प्रावधान सिर्फ copyrighted content पर लागू होते हैं, trademarks पर नहीं।
Cloudflare बिना liability लिए इन मसखरों को दफा होने को कह सकता था, और उल्टा fake DMCA claim के लिए कार्रवाई की धमकी भी दे सकता था।
आम तौर पर जिन internet providers या CDN के free plans होते हैं, उनके लिए ऐसा करना मुश्किल होता है, क्योंकि malicious actors free plans का बड़े पैमाने पर दुरुपयोग करते हैं।
इसके विपरीत, known customers से असली पैसा लेने वाले internet providers या CDN आमतौर पर तब तक customer को offline नहीं करते जब तक customer को online बनाए रखने के सभी legal रास्ते खत्म न हो जाएँ, या upstream provider की तरफ से दूसरे customers तक खतरा पहुँचने के कारण पीछे न हटना पड़े।
यह सिर्फ “जितना पैसा दिया, उतना मिला” वाली बात नहीं है; बात यह सुनिश्चित करने की है कि उसी provider का उपयोग करने वाले सभी लोग भुगतान कर रहे हैं, और मामला होने के बाद नहीं बल्कि पहले ही provider से इस पर चर्चा की जाए।
इस तरीके के लिए chain की हर कड़ी का वैसा होना ज़रूरी है, नहीं तो किसी दूसरे jurisdiction में hosting करनी होगी, जो कुछ data या content के लिए संभव नहीं हो सकता।
अगर US में रहना ज़रूरी है, तो ऐसे internet provider, CDN, DNS registrar, datacenter और backbone provider ढूँढने होंगे जो पूछे जाने से पहले ही content न हटाएँ।
हम कभी ऐसे provider रहे हैं जिसने बेतुके कारणों से customers को हटाने से इनकार किया, और कभी ऐसे upstream provider के customer भी रहे हैं जिसने हमारे customers को धमकी मिलने पर हमें हटाने से इनकार किया। जब बड़ी कंपनियाँ court तक जाने पर अड़ीं, तो झुकने के बजाय हमने पैसा खर्च किया; वे बड़ी कंपनियाँ आमतौर पर तुरंत हार गईं, और हमने EFF को भी donate किया।
इस मामले में website स्पष्ट रूप से parody है। यह घटना DMCA की समस्या को अच्छी तरह दिखाती है। Fraudulent DMCA requests लागत पैदा करती हैं, लेकिन शायद ही कभी सज़ा मिलती है।
[1] https://www.dmca.com/FAQ/What-is-a-DMCA-Takedown
CrowdStrike/CSC कम से कम 2012 से clownstrike.com और clownstrike.net के मालिक हैं, लेकिन लगता है नए top-level domains तक ध्यान नहीं रख पाए।
पता नहीं उन्होंने इसे अच्छा idea क्यों समझा, लेकिन इसकी वजह से web पर उसका ज़िक्र करते समय सच में clownstrike.com इस्तेमाल किया जा सकता है।
[0] https://www.whois.com/whois/clownstrike.com
मैंने उन्हें समझाकर रोका, और सौभाग्य से अब तक किसी ने maliciously company_name.xxx register नहीं किया। बेशक यह कभी भी हो सकता है।
सोचता हूँ कि वे और कौन-से parody नाम या variant names own करते होंगे।
Streisand effect पूरी तरह चालू है।
HN के अंदर भी बहुत से लोग इस parody site के बारे में नहीं जानते होंगे, लेकिन अब जानेंगे और सक्रिय रूप से देखेंगे।
अफसोस है कि सैकड़ों अरब डॉलर की industry चलाने वाले लोग socio-economic dynamics में actions के बुनियादी unintended consequences बिल्कुल नहीं सीखते दिखते।
अगर ClownStrike site हटाना चाहता था, तो उन्हें बस एक और bug update deploy करना था।
तब बाकी internet के साथ वह site भी down हो जाती।
सक्षम IT departments समझ जाएँगे कि अब वे इस तरह business को risk में नहीं डाल सकते।
खासकर airlines को मानना होगा कि CrowdStrike हो या Microsoft, अगर ऐसा फिर हुआ तो वे करोड़ों डॉलर का नुकसान नहीं झेल सकतीं, और updates को पहले केवल test systems पर लागू करने का तरीका बनाना होगा।