Los usuarios de AWS necesitan haber leído más de 15.000 palabras de términos de servicio para darse cuenta de este hecho. La opción predeterminada para los usuarios es la de aceptar esta opción.
Hasta hace poco, AWS ha requerido a los clientes la presentación activa de un ticket de soporte si quieren evitar que esto ocurra. Esto, en el caso que se hubieran dado cuenta de la situación. Según Computer Business Review, este alarmante asunto fue detectado esta semana por Scott Piper, un ex miembro de la NSA que ahora dirige Summit Route, una consultoría de entrenamiento de seguridad de AWS. Piper hizo su hallazgo después que AWS actualizara sus opciones de opt-out para facilitar a los clientes hacerlo en la consola, por API o por línea de comandos.
Piper, un reconocido experto en AWS, teme que muchos no supieran que esto estaba ocurriendo, añadiendo que él mismo no lo sabía, según dijo a Computer Business Review. “Esto quebranta algunas suposiciones que la gente tiene sobre lo que AWS hace con sus datos”.
La empresa menciona numerosos servicios de AWS que lo hacen, como CodeGuru Profiler, que recoge datos de rendimiento en tiempo de ejecución de aplicaciones en vivo, Rekognition, un servicio de biometría, Transcribe, un servicio de reconocimiento automático de voz, Fraud Detector y más. El popular servicio de aprendizaje automático administrado SageMaker también puede mover datos fuera de las regiones seleccionadas por los usuarios para su oferta de etiquetado de datos Ground Truth.
Piper añadió: “El hecho de que AWS pueda trasladar tus datos fuera de la región quebranta las suposiciones sobre la soberanía de los datos. AWS ha afirmado frecuentemente que tus datos no salen de la región en la que los has puesto. Esto se ha planteado como la razón por la que tienes que especificar la región para un cubo de S3, por ejemplo, y AWS ha publicitado este punto al compararse con otros proveedores de nubes. El hecho es que hasta ahora la única manera de salirse de esto era 1) saberlo en primer lugar y 2) presentar un ticket de soporte”.
Además, los términos de uso dejan claro que AWS considera que es responsabilidad de los usuarios notificar claramente a sus propios clientes que esto está ocurriendo. La publicación cita el artículo 50.4, que señala “Usted es responsable de proporcionar a los Usuarios Finales avisos de privacidad legalmente adecuados de sus productos o servicios que utilicen cualquier Servicio de Inteligencia Artificial y de obtener el consentimiento necesario de dichos Usuarios Finales para el procesamiento de los Contenidos de Inteligencia Artificial y el almacenamiento, uso y transferencia de los Contenidos de Inteligencia Artificial como se describe en esta Sección 50”.
La revelación también fue una novedad para un experimentado usuario de la nube, Steve Chambers, consultor de AWS. Señaló que los términos de AWS enfatizan “A efectos de estos términos de servicio, ‘Su contenido’ incluye cualquier ‘Contenido de la empresa’ y cualquier ‘Contenido del cliente'”.
Chambers dijo a Computer Business Review: “La pregunta debería ser: ¿Por qué alguien optaría automáticamente a favor de esto? Si no lo hicieran por defecto, entonces seguramente lo predeterminado debería ser “opt-out”. Hay una diferencia entre usar datos de telemetría sobre el uso de los servicios de inteligencia artificial por parte de los clientes y usar el contenido real – es como si AWS accediera a los registros dentro de mi base de datos de RDS (lo cual no hacen… ¿o sí?) en lugar de recopilar telemetría sobre cómo estoy usando el RDS”.
Un documento actualizado esta semana por AWS proporciona orientación a las organizaciones sobre el opting out y una nueva herramienta permite a los usuarios establecer una política que lo active en todas sus propiedades. Se señala: “Los servicios de inteligencia artificial (IA) de AWS recogen y almacenan datos como parte del ciclo de vida operativo y de apoyo a la mejora continua de cada servicio. Como cliente de AWS, puede optar por no participar en este proceso para asegurarse de que sus datos no persistan en los almacenes de datos del servicio de IA de AWS o se utilicen para mejoras del servicio”.
Scott Piper añadió: “Curiosamente, la nueva capacidad de exclusión, añadida hoy, menciona a Kendra como uno de los servicios que se puede excluir de la recopilación de datos por parte de AWS, pero los términos del servicio no mencionan a Kendra. Si AWS ya estaba usando los datos de los clientes de ese servicio, creo que eso les va a causar problemas”.