Desenvolvedor se assusta quando após subir uma máquina virtual do Ubuntu no Azure, foi contatado por um representante de vendas da Canonical

Um cliente do Azure ficou indignado depois de receber uma mensagem inesperada no LinkedIn da Canonical, na noite passada.

O usuário, Luca Bongiorni, criou uma instância da distribuição Linux em uma assinatura corporativa do Azure para avaliar algumas ferramentas. De forma sensata, a assinatura é usada como uma sandbox para fins de teste.

Ao clicar em “Adicionar nova VM”, a primeira opção foi o Ubuntu 18.04 , de acordo com Bongiorni, que ele selecionou para se familiarizar com o Linux. Pouco depois, no entanto, uma mensagem apareceu de um representante de Desenvolvimento Corporativo no Ubuntu com a frase sinistra: “Eu vi que você gerou uma imagem do Ubuntu no Azure” e se oferecendo para ser um ponto de contato.

A Canonical estava de alguma forma ciente do que um cliente do Azure estava fazendo no painel?

O Register falou com Bongiorni, que confirmou a sequência de eventos e observou que “a UI do Portal do Azure não forneceu qualquer insight sobre se aquele modelo estava vindo com um ToS (Termos de serviço) específico”, pois ele alegremente escolheu o Ubuntu.

É um lembrete de sempre verificar as letras pequenas (e os ícones), pois, de fato, as implicações do ícone laranja não eram claras para ele. Particularmente não que seus dados fossem compartilhados.

“A coisa mais assustadora”, disse ele, “[foi] o contato direto em minha conta privada do LinkedIn” - que ele observou não compartilhava “o mesmo e-mail corporativo. O que significa que o departamento de vendas da Canonical caçou meu nome nas redes sociais para me alcançar diretamente.”

Microsoft e Canonical são certamente boas amigas. As empresas recentemente se orgulharam do aniversário de um ano de “uma parceria que oferece o melhor e mais seguro código aberto para os clientes” e de um modelo de venda conjunta lançado em 2019 que foi intensificado a partir de um mero envolvimento passivo.

Certamente, uma mensagem de chamada fria do nada não seria considerada “passiva”.

Embora a ideia dos engenheiros da Canonical olhando por cima do ombro virtual com a aprovação tácita da Microsoft possa ser atraente, a explicação é provavelmente um pouco mais simples. Uma olhada nos termos do Azure Marketplace traz esta frase: “Se você comprar ou usar uma Oferta do Marketplace, podemos compartilhar com o Publicador de tal Oferta suas informações de contato e detalhes sobre a transação e seu uso.”

Uma caça aos legais do Ubuntu ( conforme observado pelo usuário do Twitter @ dezren39) mostra uma seção inteira dando luz verde à empresa “Para comercializar nossos produtos ou serviços para você.”

Bongiorni avaliou que o compartilhamento de dados era “de algumas maneiras” compreensível ao girar um modelo de terceiros no Azure, mas acrescentou: "Deixe bem claro quando você vai escolher uma VM específica na UI do Portal do Azure.

“Eu não teria implantado isso se soubesse que alguém me perseguiria fora dos canais corporativos.”

Certamente, algo um pouco mais claro do que um pequeno ícone laranja seria útil para indicar a implantação iminente dos stalkerbots. Ou talvez simplesmente não fazendo nada, hmm?

Pedimos comentários à Microsoft e à Canonical, mas ainda não recebemos uma explicação de nenhuma delas. O comentarista da AWS Corey Quinn reagiu de maneira divertida:

E Bongiorni? Ele nos disse que estava considerando mudar para um provedor diferente, provavelmente com sede na Europa, “apenas para ter certeza de que haverá mais transparência e abertura do GDPR”.

Ele também destacou mais uma ruga na história. Se a Canonical, como um Editor do Azure Marketplace, receber informações sobre alguém que usa seus modelos, um editor mal-intencionado hipotético também pode receber informações semelhantes?

“Estou muito curioso para saber o que mais esses ‘editores’ estão recebendo da Microsoft sobre mim e as máquinas que girei ao longo do tempo e que dependiam de seus modelos.”

Atualização em 12 de fevereiro:

Após a publicação deste artigo, a Canonical respondeu às nossas chamadas para comentários com uma declaração por escrito:

“De acordo com os T & Cs do Azure, a Microsoft compartilha com a Canonical, a editora do Ubuntu, os detalhes de contato dos desenvolvedores que lançam instâncias do Ubuntu no Azure. Esses detalhes de contato são mantidos no CRM da Canonical de acordo com as regras de privacidade.

“Em 10 de fevereiro, um novo Representante de Vendas da Canonical contatou um desses desenvolvedores via LinkedIn, com uma escolha ruim de palavras. À luz deste incidente, a Canonical estará revisando seu treinamento de vendas e políticas.”

A Microsoft também nos enviou um comentário enlatado:

"Privacidade e confiança do cliente são nossa maior prioridade na Microsoft. Não vendemos nenhuma informação a empresas terceirizadas e apenas compartilhamos informações de clientes com editores do Azure Marketplace quando os clientes implantam seus produtos, conforme descrito em nossos Termos e Condições . Nossos termos com nossos os editores permitem que eles forneçam aos clientes suporte técnico e de implementação para seus produtos, mas os restringe de usar detalhes de contato para fins de marketing. "

IIIISSSSHHH… me dando um motivo pra ficar longe do Ubuntu, será?

Acho que sim. As reservas da Free Software Foundation não são injustificadas. A Canonical tem, por vezes, um comportamento meio estranho. Por isso não uso o Ubuntu.

Eu me havia esquecido completamente dessa parceia entre M$ e Canonical.

Será que a raposa deixará o Ubuntu?

Facilidade sem privacidade, tá melhor ir pra outra distro

Vou continuar usando o Ubuntu normalmente!

Tudo estava nos Termos e Condições de Uso!

Os leitores é que não leram
Ninguém lê

Poisé! Mais uma vez um caso de “a empresa é culpada por eu concordar com algo que não leio para usar um produto que não sou obrigado a usar”.

Não estava nos termos de uso, a empresa buscar o cara nas redes sociais para oferecer vendas.
E logo após o cara subir a máquina.

Como ele mesmo disse na matéria, não tem problema na Microsoft compartilhar dados com a Canonical, mas ele ficou incomodado com o nível de compartilhamento de dados, pois o cara foi atrás dele no particular. Isso não está nos termos de uso.

Então, eu acho que o problema principal é o do stalker que procurou o cliente nas redes sociais, a empresa não concorda com isso.

Está! no link para os termos da Canonical está explicito:

• To provide you with information about other goods and services we offer that are similar to those that you have already purchased or enquired about.

Ou seja, primeiro ele deu permição para a Azure repassar dados para a Canonical e depois, usando o produto da Canonical, concordou em permitir que a empresa use estes dados para informar sobre serviços e produtos, ou seja, marketing, ofertas, etc, seja automatizado ou por um representante.

Mas…

Foi uma atitude inconveniente da Canonical? Na minha opinião foi e felizmente a empresa percebeu. Seria melhor tornar o contrato mais claro na Azure? Também acho que sim, mas difícilmente a Azure vai conseguir cobrir a EULA de terceiros como foi o caso aqui. O consumidor aqui também teve o péssimo habito de não saber de antemão que o contrato abre espaço para ofertas não solicitadas de produtos.

Mais uma vez, o problema não foi isso, foi o representante da Canonical procurar o cara em sua vida particular.

Na verdade foi parte do problema, a questão é, foram dados que ele informou na plataforma que levaram a esse contato mesmo que indireto? Goste ele ou não, ele concordou com uma EULA que não se comprometeu em fazer uso seletivo dos dados para tal. Foi inadequado mas também foi inadequado o desenvolvedor ser tão leviano ao comparar suas exigências de privacidade com o contrato que decidiu aceitar.

Não, ele estava em uma conta empresarial, só tinha dados da empresa. Nem mesmo email ou telefone pessoal estavam vinculados.

O cara da Canonical pegou o nome dele e procurou nas redes sociais.

E dai? A EULA deixa claro que a Canonical pode usar estes dados para te oferecer serviços e produtos, ponto, infelizmente ele decidiu aceitar uma EULA intencionalmente vaga que óbviamente visa defender a empresa e não ele, se eles vao usar diretamente ou indiretamente estes dados para contatar a empresa, seja via canal oficial ou via funcionário da mesma, não importa do ponto de vista legal. O máximo que ele pode realmente esperar é que a empresa tenha bom senso ou que ele possa remover tudo dos serviços por ter se equivocado na escolha (se a EULA com a qual ele concordou, permitir o cancelamento dos serviços a qualquer momento). Talvez ele possa entrar com lesa contra a empresa em que trabalha (se não for responsabilidade dele avaliar a EULA dos serviços consumidos pela empresa).

O EULA fala em dados de contato, ou seja, os dados gravados na conta, que seriam o email e o telefone da empresa que ele trabalhava.
O fato de a empresa ir atrás dele no pessoal, já ultrapassa esse limite e invade a privacidade do cara.
Tanto que ambas as empresas se retrataram, apesar de formar genérica.
Se o cara quiser processar, ele ganha fácil, pois foi um claro abuso do próprio EULA.

A EULA não especifica como estes dados serão usados, se vai ser usado o nome do funcionário, o email empresarial, se serão procurados canais secundários de comunicação com esses dados, seja com a empresa ou o funcionário. Ambas as empresas se retrataram pois consideraram inadequado não uma quebra de contrato, parte de fazer bons negócios é agradar o cliente e ser cordial, não apenas justo.