Exempleados de CrowdStrike: "El control de calidad no era parte del proceso"

 (semafor.com)
1 puntos por GN⁺ 2024-09-14 | 1 comentarios | Compartir por WhatsApp
  • Los ingenieros de software de CrowdStrike presentaron quejas durante más de un año ante altos directivos de la empresa sobre plazos más cortos, carga de trabajo excesiva y un aumento de problemas técnicos
    • El ingeniero Jeff Gardner: "La velocidad era lo más importante, y el control de calidad no era una prioridad"
    • De 24 exempleados, 10 fueron despedidos y 14 renunciaron voluntariamente
    • El ex empleado Joey Victorino refutó esto y afirmó que CrowdStrike manejaba todo minuciosamente
  • CrowdStrike negó la mayor parte del reporte de Semafor y se refirió a las fuentes como "exempleados resentidos"
    • La empresa sostiene que trabaja para garantizar la estabilidad de sus productos mediante pruebas rigurosas y control de calidad
  • CrowdStrike fue fundada en 2011 y creció rápidamente hasta convertirse en líder del sector de ciberseguridad tras el lanzamiento del paquete antivirus Falcon en 2013
    • Tras salir a bolsa en 2019, siguió creciendo a gran escala, aumentó su plantilla y elevó sus ingresos en más de 1,000% al cierre del año fiscal 2024
  • En julio, una actualización de software defectuosa de CrowdStrike provocó la mayor caída de TI de la historia
    • 8.5 millones de computadoras quedaron fuera de servicio, lo que causó pérdidas de hasta 5,400 millones de dólares a empresas del Fortune 500
    • Viajeros quedaron varados en aeropuertos, no se pudo acceder a cuentas de banca en línea y centros de llamadas de emergencia quedaron fuera de línea

Problemas señalados por exempleados

  • En ocasiones, las revisiones de calidad del software fueron deficientes para apresurar los lanzamientos de productos
  • En el área de servicios profesionales hubo tres incidentes en los que información privada de clientes se subió por error a carpetas de otros clientes
  • Hubo problemas con el servicio Falcon LogScale
    • Al menos dos veces, actualizaciones erróneas apagaron temporalmente alertas en tiempo real que advertían sobre actividad maliciosa
  • En 2022 se apresuró el lanzamiento del servicio de cacería de amenazas en la nube Falcon OverWatch Cloud Threat Hunting
    • A ingenieros y cazadores de amenazas se les indicó terminar en dos meses un trabajo que normalmente toma un año
    • En el momento del lanzamiento faltaban herramientas internas que los cazadores de amenazas usaban para monitorear por completo los sistemas en la nube de los clientes

Respuesta de CrowdStrike

  • La empresa reconoció que utilizó ingenieros ya existentes, pero explicó que en ese momento ni siquiera existía como tal el campo de los "cazadores de amenazas en la nube", por lo que era imposible contratar personal con experiencia
  • Afirmó que es falso que los empleados no hubieran sido capacitados para realizar su trabajo, y señaló que ofrecía capacitación a quien la quisiera
  • La línea de productos OverWatch existe desde hace más de 10 años y sigue mejorando de forma continua para adaptarse a las amenazas y necesidades cambiantes de los clientes

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-09-14
Opiniones de Hacker News

  • El agente de CrowdStrike para Mac (Falcon) envía todos los secretos en texto plano desde las variables de entorno a un SIEM alojado en la nube

    • Se pueden buscar credenciales de GitHub, AWS y otros servicios
    • Solo aplica a la versión para Mac, y no hay forma de desactivar o corregir este comportamiento
    • Es muy probable que una gran cantidad de secretos en texto plano de los clientes estén almacenados en el SIEM

  • Jeff Gardner afirma que en CrowdStrike solo importaba la velocidad y que el control de calidad no se tomaba en cuenta

    • Es difícil confiar en la opinión de un ex empleado despedido
    • Es probable que este empleado, como diseñador, no haya estado involucrado en el control de calidad

  • De 24 ex empleados, 10 fueron despedidos y 14 renunciaron voluntariamente

    • Algunos ex empleados presentaron opiniones distintas
    • Joey Victorino afirmó que CrowdStrike era minucioso en todo su trabajo

  • La opinión de Jeff Gardner proviene de la perspectiva de un diseñador de UX

    • Es posible que no esté relacionada con el proceso de distribución de parches del kernel

  • La infraestructura crítica de software debería regularse como la infraestructura física

    • Al igual que los edificios y los puentes, el software también debería garantizar su confiabilidad mediante regulaciones e inspecciones

  • El equipo que desplegó el agente de CrowdStrike tuvo problemas con los logs

    • El daemon registra una gran cantidad de logs, pero no hay ninguna configuración para detenerlos o reducirlos

  • El problema cultural de CrowdStrike es similar al de Knight Capital

    • Un pequeño problema cultural puede llevar a una disfunción en toda la empresa

  • En el desarrollo de software, muchas veces falta control de calidad

    • Muchos proyectos se lanzan con prisa y sin suficientes pruebas

  • Empieza a surgir la reflexión sobre el límite entre asumir riesgos y buscar emociones fuertes

    • A partir de cierto punto, puede dejar de ser un problema de pereza o disciplina y convertirse en neurosis o adicción

  • CrowdStrike refutó el reportaje de Semafor

    • Es posible que ex empleados descontentos intenten hacer quedar mal a la empresa
    • Pero la credibilidad de CrowdStrike es muy baja

  • A pesar de que ocurrió el peor escenario posible, las acciones de CrowdStrike siguen subiendo

    • Está mostrando un rendimiento superior al del S&P 500