CrowdStrike enfrenta uma enxurrada de ações judiciais devido a uma atualização de software defeituosa

Quando a agora famosa atualização de software da CrowdStrike derrubou empresas em todo o mundo em julho, era inevitável que ações judiciais surgissem - e surgiram. A Delta está processando a empresa por até US $ 500 milhões em danos e contratou o advogado David Boies, talvez o exemplo mais proeminente.

Entre a ampla gama de clientes de alto perfil de Boies estão Theranos, Harvey Weinstein, vítimas de Jeffrey Epstein e Al Gore em Bush v. Gore em relação aos resultados da eleição presidencial de 2000. Ele também liderou o caso antitruste do governo contra a Microsoft na década de 1990.

Mesmo antes de a Delta se manifestar, os acionistas estavam buscando sua parte de sangue, entrando com uma ação coletiva contra a CrowdStrike alegando que a empresa os havia enganado em relação aos seus procedimentos de atualização de software.

Por sua parte, a CrowdStrike contratou o escritório de advocacia Quinn Emanuel Urquhart & Sullivan para defender a empresa contra a esperada enxurrada de ações judiciais, o que dá credibilidade à ideia de que os advogados vão lucrar bastante com esse erro.

Em menor escala, a Microsoft também foi arrastada para a batalha porque a atualização de software defeituosa da CrowdStrike afetou apenas máquinas Windows.

Mas, em grande parte, é uma cruz para a CrowdStrike carregar, e ela está enfrentando um desafiante desafio legal, diz Rob Wilkins, que trabalha no escritório de advocacia Jones Foster, na Flórida, onde co-preside o grupo de prática de litígios e resolução de disputas complexas. No entanto, o que poderia salvar a CrowdStrike são limites contratuais de danos, que são tipicamente inseridos em contratos de software empresarial.

“O que achei interessante é que há um limite contratual de danos entre a CrowdStrike e a Delta, e suponho que haverá um tipo semelhante de limite contratual de danos nos contratos dos outros clientes”, disse Wilkins ao TechCrunch.

Delta, no entanto, alega que a péssima atualização de software equivale a negligência grave ou conduta dolosa por parte da CrowdStrike, o que poderia potencialmente anular o limite contratual. O serviço da Delta foi interrompido por cinco dias, em comparação com a United, que enfrentou apenas três dias de atrasos relacionados à CloudStrike. A CrowdStrike afirma que a Delta teve problemas com seus próprios sistemas internos e que a empresa não pode atribuir toda a interrupção à atualização defeituosa da CrowdStrike.

Wilkins diz que a Delta pode ter problemas para provar negligência grave ou conduta dolosa, o que carrega um ônus significativo de prova. Acionistas que alegam que a empresa os enganou e defraudou por não avisá-los sobre a falta de um regime de testes de software também enfrentam desafios significativos para provar isso em juízo.

“Resume-se a: a CrowdStrike estava intencionalmente fazendo representações falsas ou deixando de informar os investidores que estava completamente atualizada com relação a todos os seus procedimentos de segurança e procedimentos de controle em relação à sua plataforma de software?”, disse Wilkins.

Wilkins diz que, aconteça o que acontecer, as empresas individuais que processam a CrowdStrike provavelmente se reunirão para entrar com uma ação coletiva contra a empresa, porque processos individuais se tornarão caros e complicados para todos os envolvidos. Vale ressaltar, diz ele, que uma vez que haja uma ação coletiva, isso tende a atrair mais empresas que desejam ser incluídas.

“Normalmente, com ações coletivas, as pessoas se juntam, e não ficaria surpreso se isso acontecesse, e então você vê tudo sendo consolidado por um painel multidistrital de litígios, atribuindo todos os casos pelo país a um tribunal federal distrital específico para todos os fins relacionados à descoberta - e isso reduz significativamente o processo,” disse.

Uma vez estabelecido isso, tende a haver um julgamento “sentinela”, onde um caso é apresentado como caso de teste para todos os outros autores em ação coletiva, e seja qual for a decisão do júri, isso serve como um mapa para outros acordos futuros. “Então você pode voltar para a CrowdStrike e dizer: ‘Olha, você foi atingido por US $ 20 milhões por essa empresa, e temos mais 15 empresas que estão processando você nessas ações coletivas com os mesmos fatos, etc., você deveria resolver,” disse.

Um outro fator complicador é o papel das companhias de seguros, que estariam cobrindo a CrowdStrike e seus clientes contra possíveis danos nesses casos. As companhias de seguros dos clientes podem vir atrás da CrowdStrike também para recuperar alguma parte dos pagamentos que fizeram.

“Provavelmente há um seguro lá, e provavelmente a seguradora vai se envolver e geralmente elas defendem essas coisas. Embora eu não tenha visto sua apólice específica, em apólices de seguro cibernético que revisei, ela cobriria esse tipo de negligência. E assim depende do que eles têm e de quais exclusões têm em sua apólice, mas vejo o seguro fazendo parte disso.”

Além das questões monetárias, Wilkins diz que há um componente reputacional, e quanto mais cedo tudo isso desaparecer, mais cedo a CrowdStrike poderá avançar. A empresa contratou bons advogados para se defender, mas no final do dia, a empresa terá que fazer as pazes com acionistas e clientes, relacionamentos essenciais para o sucesso de qualquer negócio.

“Parece-me que a abordagem deles para isso será lutar, mas também lutar com o entendimento de que eles realmente precisam resolver isso e seguir em frente, então é isso que eu esperaria.”