Aa Aa Aa

Водійські права, адреси, фотографії - TikTok спіймали на зливі даних користувачів

Дмитро Сизов
Водійські права, адреси, фотографії - TikTok спіймали на зливі даних користувачів

TikTok отримав скаргу від британської користувачки, яка зазначила, що чоловік «оголився та грав із собою» під час прямої трансляції, яку вона влаштувала у відеододатку. Вона також розповіла про насильство, яке вона зазнала в минулому.

Щоб розглянути скаргу, співробітники TikTok поділилися інцидентом у внутрішньому інструменті обміну повідомленнями та співпраці під назвою Lark, згідно з документами компанії, отриманими The New York Times. Особисті дані британки, включаючи її фотографію, країну проживання, адресу інтернет-протоколу, пристрій і ідентифікатори користувачів, також були розміщені на платформі, яка схожа на Slack і Microsoft Teams.

Її інформація була лише частиною даних користувачів TikTok, які ділилися на Lark, якими щодня користуються тисячі співробітників китайського власника програми ByteDance , у тому числі в Китаї. Згідно з документами, отриманими The Times, на платформі також були доступні водійські права американських користувачів, а також потенційно незаконний контент деяких користувачів, наприклад матеріали сексуального насильства над дітьми. У багатьох випадках інформація була доступна в «групах» Lark — по суті, в чатах співробітників — з тисячами учасників.

Велика кількість користувальницьких даних на Lark стурбувала деяких співробітників TikTok, особливо тому, що співробітники ByteDance в Китаї та інших країнах могли легко побачити матеріал, згідно з внутрішніми звітами та чотирма нинішніми та колишніми співробітниками. Принаймні з липня 2021 року кілька співробітників служби безпеки попереджали керівників ByteDance і TikTok про ризики, пов’язані з платформою, згідно з документами та поточними та колишніми працівниками.

«Чи повинні співробітники Пекіна бути власниками груп, які містять секретні» дані користувачів, запитав один співробітник TikTok у внутрішньому звіті в липні минулого року.

Користувацькі матеріали на Lark викликають запитання щодо даних і практики конфіденційності TikTok і показують, наскільки вони переплетені з ByteDance, так само як відеододаток стикається з дедалі більшою ретельністю через потенційні ризики для безпеки та зв’язки з Китаєм. Минулого тижня губернатор штату Монтана підписав законопроект про заборону TikTok у штаті з 1 січня. Додаток також заборонено в університетах , державних установах і військових.

Протягом багатьох років TikTok перебував під тиском, щоб огородити його діяльність у США через побоювання, що він може надати дані про американських користувачів китайській владі. Щоб продовжити роботу в Сполучених Штатах, минулого року TikTok подав адміністрації Байдена план під назвою «Проект Техас», у якому було описано, як він зберігатиме інформацію про американських користувачів усередині країни та відгороджуватиме дані від співробітників ByteDance та TikTok за межами Сполучених Штатів.

TikTok применшив доступ його китайських працівників до даних користувачів у США. На слуханнях у Конгресі в березні виконавчий директор TikTok Шоу Чу заявив, що такі дані в основному використовувалися інженерами Китаю в «ділових цілях» і що компанія має «суворі протоколи доступу до даних» для захисту користувачів. Він сказав, що велика частина інформації про користувачів, доступної інженерам, уже є загальнодоступною.

Внутрішні звіти та повідомлення від Lark, здається, суперечать заявам пана Чу. Дані Lark з TikTok також зберігалися на серверах у Китаї станом на кінець минулого року, повідомили четверо нинішніх і колишніх співробітників.

Шоу Чу, одягнений у темно-синій костюм, сидить сам за столом у великій кімнаті. Кілька людей наводять на нього великі відеокамери. За ним люди сидять рядами.
Алекс Хаурек, представник TikTok, назвав документи, які побачила The Times, «застарілими» та заперечив, що вони суперечать заявам пана Чу. Він сказав, що вони не точно описують, «як ми обробляємо захищені дані користувачів США, ані прогрес, якого ми досягли в рамках Проекту Техас».

Він додав, що TikTok у процесі видалення даних користувачів США, які він зібрав до червня 2022 року, змінив спосіб обробки інформації про американських користувачів і почав надсилати ці дані на сервери в США, які належать третім особам, а не на ті, що належать через TikTok або ByteDance.

Компанія не відповіла на запитання про те, чи зберігаються дані Lark у Китаї. Він відмовився відповідати на запитання про участь китайських співробітників у створенні та обміні даними користувачів TikTok у групах Lark, але сказав, що багато чатів були «закриті минулого року після розгляду внутрішніх проблем».

Алекс Стамос , директор Інтернет-обсерваторії Стенфордського університету та колишній керівник відділу інформаційної безпеки Facebook, сказав, що захист даних користувачів у всій організації був «найскладнішим технічним проектом» для групи безпеки компанії соціальних мереж. Проблеми TikTok, додав він, ускладнюються тим, що ByteDance є власністю.

«Lark показує вам, що всі серверні процеси контролюються ByteDance», — сказав він. «TikTok — це тонкий шпон на ByteDance».

ByteDance представила Lark у 2017 році. Інструмент, який має китайський еквівалент Feishu, використовується всіма дочірніми компаніями ByteDance, включаючи TikTok і його 7000 співробітників у США. Lark має платформу для чату, відеоконференцій, керування завданнями та функції спільної роботи над документами. Коли пана Чу запитали про Lark під час березневих слухань, він сказав, що це як «будь-який інший інструмент обміну миттєвими повідомленнями» для корпорацій, і порівняв його зі Slack.

Згідно з документами, отриманими The Times, Lark використовувався для розв'язання проблем з індивідуальними обліковими записами TikTok і обміну документами, які містять особисту інформацію, принаймні з 2019 року.

У червні 2019 року співробітник TikTok поділився на Lark зображенням водійських прав жінки з Массачусетса. Жінка надіслала фотографію в TikTok, щоб підтвердити свою особу. Зображення, яке включало її адресу, дату народження, фотографію та номер водійського посвідчення, було опубліковано у внутрішній групі Lark із понад 1100 людьми, які займалися блокуванням і розблокуванням облікових записів.

Водійські права, а також паспорти та ідентифікаційні картки людей з таких країн, як Австралія та Саудівська Аравія, були доступні на Lark з минулого року, згідно з документами, з якими ознайомилася The Times.

Lark також викрив матеріали користувачів про сексуальне насильство над дітьми. В одній з розмов у жовтні 2019 року співробітники TikTok обговорювали заборону деяких облікових записів, які ділилися вмістом дівчаток старше 3 років, які були топлес. Робітники також опублікували зображення на Lark.

Пан Гаурек, представник TikTok, сказав, що співробітникам було наказано ніколи не ділитися таким контентом і повідомляти про це спеціалізованій внутрішній групі безпеки дітей.

Співробітники TikTok поставили запитання щодо таких інцидентів. У внутрішньому звіті в липні минулого року один співробітник запитав, чи існують правила обробки даних користувачів у Lark. Вілл Фаррелл, тимчасовий офіцер безпеки TikTok із безпеки даних у США, який контролюватиме дані користувачів США в рамках проекту «Техас», сказав: «Поки немає політики».

Старший інженер із безпеки TikTok також заявив восени минулого року, що можуть бути тисячі груп Lark, які неправильно обробляють дані користувачів. У записі, який отримав The Times, інженер сказав, що TikTok потрібно перемістити дані «з Китаю та запустити Lark з Сінгапуру». Штаб-квартири TikTok розташовані в Сінгапурі та Лос-Анджелесі.

Джамал Боумен стоїть за табличкою з написом «Тримай TikTok», а за ним будівля Капітолію. Кілька людей стоять позаду нього, деякі тримають плакати.
Пан Хаурек назвав коментарі інженера «неточними» і сказав, що TikTok перевірив випадки, коли групи Lark потенційно неправильно поводилися з даними користувачів, і вжив заходів для їх вирішення. Він сказав, що компанія має новий процес обробки конфіденційного контенту та встановила нові обмеження на розмір груп Lark.

Минулого року відділ конфіденційності та безпеки TikTok зазнав реорганізації та звільнився, що, за словами деяких співробітників, уповільнило або відсунуло проекти конфіденційності та безпеки на критичному етапі.

Роланд Клутьє, експерт з кібербезпеки та ветеран ВПС США, пішов у відставку минулого року з посади голови глобальної організації безпеки TikTok, і частина його підрозділу була направлена ​​до команди, яка займається конфіденційністю під керівництвом Юйдзюна Чена, відомого колегам як Вуді, керівник із Китаю, який роками працював у ByteDance, повідомили троє нинішніх і колишніх співробітників. Пан Чень раніше зосереджувався на забезпеченні якості програмного забезпечення.

Пан Хаурек сказав, що пан Чен має «глибокий досвід у техніці, даних та розробці продуктів» і що його команда підпорядкована керівнику в Каліфорнії. Він сказав, що TikTok має кілька команд, які працюють над конфіденційністю та безпекою, у тому числі понад 1500 працівників у американській команді безпеки даних, і що компанія витратила понад 1,5 мільярда доларів на реалізацію проекту Texas.

ByteDance і TikTok не повідомляють, коли Project Texas буде завершено. Коли це станеться, за словами TikTok, спілкування з даними користувачів із США відбуватиметься за допомогою окремого «інструменту внутрішньої співпраці».