Wanneer je gebruikmaakt van de Azure Marketplace, kan Microsoft Azure zonder dat je het weet je contactgegevens delen met uitgevers van de producten die je gebruikt. Dat ondervond beveiligingsadviseur Luca Bonbiorni.
Nietsvermoedend zette Bonbiorni een Ubuntu Linux 18.04 installatie op in de Microsoft Azure cloud om iets te testen. Even later kreeg hij via LinkedIn een verkoopbericht van een Canonical vertegenwoordiger.
“Ik zag dat je een Ubuntu installatie opzette in Azure”, zei de vertegenwoordiger. Bonbiorni was verrast dat de verkoper hem had gevonden op een compleet andere dienst en wist dat hij zojuist Ubuntu had gebruikt in Microsoft Azure. Er is hier duidelijk een probleem met de privacy.
Wat zeggen Microsoft en Ubuntu over het incident?
Als reactie op dit incident laat Microsoft weten dat privacy van klanten topprioriteit heeft binnen Microsoft. “We verkopen geen informatie aan externe partijen en delen alleen klantinformatie met Azure Marketplace uitgevers wanneer klanten hun product gebruiken.”
“Onze voorwaarden met uitgevers staat hen toe om klanten technische ondersteuning en hulp te bieden bij de implementatie van hun producten, maar het is niet toegestaan om contactinformatie voor marketingdoeleinden te gebruiken.” Zo verklaart Microsoft.
Dat laatste is precies wat Canonical wél deed. In de reactie op het incident zegt Canonical: “Volgens de algemene voorwaarden deelt Microsoft de contactgegevens van ontwikkelaars die Ubuntu installaties toevoegen met Canonical, de uitgever van Ubuntu.”
“Canonical bewaart de contactgegevens in zijn CRM en voldoet hiermee aan de privacy regels”, legt het bedrijf uit. “Op 10 februari contacteerde een nieuwe vertegenwoordiger van Canonical een van deze developers via LinkedIn met een wat ongelukkige woordkeuze. In navolging op dit incident herziet Canonical de salestraining en beleidslijnen.”
Onzekerheid voor Microsoft Azure gebruikers
Om het allemaal nog wat ingewikkelder te maken, verwees Microsoft naar sectie 3 (Privacy & Data Protection) van zijn algemene voorwaarden. In sectie 3.a: Informatie vrijgegeven aan uitgevers, zegt Microsoft het volgende: “Als je een product uit de Marketplace koopt of gebruikt, mogen we je contactinformatie en details over de transactie en je gebruik delen met de uitgever van het aanbod. We delen geen klantgegevens met uitgevers zonder jouw toestemming.”
Uit de voorwaarden van Microsoft is het niet geheel duidelijk welke informatie precies gedeeld wordt met uitgevers en welke beperkingen zij hebben voor het gebruik van de data. Het vervelende aan dit alles is dat een gebruiker de algemene voorwaarden moet accepteren om toegang te krijgen tot de cloud. Het is dus verplicht om ermee in te stemmen dat Microsoft mogelijk je informatie deelt met uitgevers.
Bongiorni geeft aan niet zo snel meer een nieuwe installatie op te zetten via Azure. Hij overweegt over te stappen naar een Europese provider, waar hij meer transparantie verwacht vanwege de GDPR.