В августе 2021 года TikTok получил жалобу от пользователя из Великобритании, который сообщил, что мужчина «разоблачил себя и поиграл сам с собой» в прямом эфире, который она вела в видеоприложении. Она также рассказала о жестоком обращении, которому она подвергалась в прошлом.
Чтобы отреагировать на жалобу, сотрудники TikTok поделились инцидентом во внутреннем инструменте обмена сообщениями и совместной работы под названием Lark, согласно документам компании, полученным The New York Times. Личные данные британки, включая ее фотографию, страну проживания, адрес интернет-протокола, устройство и учетные данные пользователя, также были опубликованы на платформе, похожей на Slack и Microsoft Teams.
Его информация была лишь частью пользовательских данных TikTok, которыми делились на Lark, которые ежедневно используются тысячами сотрудников китайского владельца приложения, ByteDance, в том числе в Китае. Согласно документам, полученным The Times, водительские права пользователей из США также были доступны на платформе, как и потенциально незаконный контент некоторых пользователей, например, материалы о сексуальном насилии над детьми. Во многих случаях информация была доступна в «группах» Lark — по сути, в чатах сотрудников — с тысячами участников.
Распространение пользовательских данных на Lark встревожило некоторых сотрудников TikTok, тем более что сотрудники ByteDance в Китае и других странах могли легко увидеть материал, согласно внутренним отчетам и четырем нынешним и бывшим сотрудникам. Согласно документам, а также нынешним и бывшим работникам, как минимум с июля 2021 года несколько сотрудников службы безопасности предупреждали руководителей ByteDance и TikTok о рисках для платформы.
«Должны ли пекинские сотрудники владеть группами с секретными данными» о пользователях, — спросил сотрудник TikTok во внутреннем отчете в июле прошлого года.
Пользовательские материалы на Lark поднимают вопросы о методах TikTok в отношении данных и конфиденциальности и показывают, насколько они связаны с ByteDance, так же как видеоприложение подвергается все более тщательному изучению из-за его потенциальных угроз безопасности и его связей с Китаем. На прошлой неделе губернатор Монтаны подписал закон о запрете TikTok в штате с 1 января. Приложение также было запрещено в университетах, государственных учреждениях и военными.
TikTok в течение многих лет находился под давлением, чтобы закрыть свои операции в США из-за опасений, что он может предоставить данные пользователей США китайским властям. Чтобы продолжить работу в Соединенных Штатах, TikTok в прошлом году представил администрации Байдена план под названием Project Texas, в котором излагалось, как он будет хранить информацию о пользователях из США внутри страны и блокировать данные сотрудников ByteDance и TikTok за пределами Соединенных Штатов.
TikTok свел к минимуму доступ своих китайских сотрудников к пользовательским данным в США. Во время слушаний в Конгрессе в марте исполнительный директор TikTok Шоу Чу заявил, что данные использовались в основном инженерами в Китае для «деловых целей» и что у компании есть «протоколы доступа к строгим данным» для защиты пользователей. Он сказал, что большая часть пользовательской информации, доступной инженерам, уже была общедоступной.
Внутренние отчеты и сообщения от Lark, кажется, противоречат утверждениям г-на Чу. По словам четырех нынешних и бывших сотрудников, данные Lark TikTok также хранились на серверах в Китае в конце прошлого года.
Документы, с которыми ознакомилась The Times, включали десятки скриншотов отчетов, сообщений в чате и комментариев сотрудников о Lark, а также видео и аудио внутренних сообщений за период с 2019 по 2022 год.
Алекс Хаурек, представитель TikTok, назвал документы, которые увидела The Times, «устаревшими». Он сказал, что они не совсем точно описывают, «как мы обращаемся с защищенными данными пользователей из США, или прогресс, которого мы достигли в проекте «Техас».
Он добавил, что TikTok находился в процессе удаления данных о пользователях в США, которые он собирал до июня 2022 года, когда он изменил способ обработки информации о пользователях в США и начал отправлять эти данные на серверы, расположенные в Соединенных Штатах, принадлежащие третьей стороне, а не те. принадлежит. от TikTok или ByteDance.
Компания не ответила на вопросы о том, хранятся ли данные Lark в Китае. Он отказался отвечать на вопросы об участии китайских сотрудников в создании и обмене пользовательскими данными TikTok в группах Lark, но сказал, что многие чаты были «закрыты в прошлом году после рассмотрения внутренних проблем».
Алекс Стамос, директор Интернет-обсерватории Стэнфордского университета и бывший директор по информационной безопасности Facebook, сказал, что защита пользовательских данных в организации была «самой сложной технической задачей» для команды безопасности компании, занимающейся социальными сетями. Он добавил, что проблемы TikTok усугубляются владением ByteDance.
«Lark показывает вам, что все внутренние процессы контролируются ByteDance», — сказал он. «TikTok — это тонкий слой ByteDance».
ByteDance представила Lark в 2017 году. Этот инструмент, имеющий китайский эквивалент, известный только как Feishu, используется всеми дочерними компаниями ByteDance, включая TikTok и его 7000 сотрудников в США. Lark предлагает платформу чата, видеоконференцсвязь, функции управления задачами и совместной работы над документами. Когда г-на Чу спросили о Lark на мартовском слушании, он сказал, что это похоже на «любой другой инструмент для обмена мгновенными сообщениями» для бизнеса, и сравнил его со Slack.
Согласно документам, полученным The Times, Lark использовался для решения проблем с отдельными учетными записями TikTok и обмена документами, содержащими личную информацию, по крайней мере с 2019 года.
В июне 2019 года сотрудник TikTok поделился с Lark изображением водительских прав женщины из Массачусетса. Женщина отправила фото в TikTok, чтобы подтвердить свою личность. Изображение, которое включало его адрес, дату рождения, фотографию и номер водительского удостоверения, было размещено во внутренней группе Lark, в которой участвовало более 1100 человек, занимавшихся блокировкой и повторным открытием счетов.
Согласно документам, с которыми ознакомилась The Times, водительские права, а также паспорта и удостоверения личности людей из стран, включая Австралию и Саудовскую Аравию, были доступны на Lark с прошлого года.
Ларк также разоблачила материалы пользователей о сексуальном насилии над детьми. В разговоре в октябре 2019 года сотрудники TikTok обсудили запрет на определенные учетные записи, которые делились контентом от девочек старше 3 лет, которые были обнажены до пояса. Рабочие также разместили кадры в Lark.
Г-н Хаурек, представитель TikTok, сказал, что сотрудникам было дано указание никогда не делиться таким контентом и сообщать об этом внутренней команде по безопасности детей.
Сотрудники TikTok задавали вопросы по поводу таких инцидентов. Во внутреннем отчете в июле прошлого года работник спросил, существуют ли какие-либо правила для обработки пользовательских данных в Lark. Уилл Фаррелл, исполняющий обязанности начальника службы безопасности TikTok по безопасности данных в США, который будет контролировать данные пользователей в США в рамках Project Texas, сказал: «В настоящее время политики нет».
Старший инженер по безопасности TikTok также заявил прошлой осенью, что тысячи групп Lark могут неправильно управлять данными пользователей. В записи, полученной The Times, инженер сказал, что TikTok должен был перенести данные «из Китая и вывезти Ларк из Сингапура». Штаб-квартиры TikTok расположены в Сингапуре и Лос-Анджелесе.
Г-н Хаурек назвал комментарии инженера «неточными» и сказал, что TikTok изучил случаи, когда Lark Groups потенциально неправильно обрабатывали пользовательские данные, и предпринял шаги для решения этой проблемы. Он сказал, что у компании есть новый процесс обработки конфиденциального контента и установлены новые ограничения на размер групп Lark.
За последний год подразделение TikTok по обеспечению конфиденциальности и безопасности претерпело реорганизацию и увольнения, что, по словам некоторых сотрудников, замедлило или отложило проекты по обеспечению конфиденциальности и безопасности в критический момент.
Роланд Клотье, эксперт по кибербезопасности и ветеран ВВС США, в прошлом году ушел с поста главы глобальной организации безопасности TikTok, и часть его подразделения была переведена в команду, ориентированную на конфиденциальность, во главе с Юдзюном Ченом, известным коллегам как Вуди, работающим в Китае. руководитель, проработавший в ByteDance много лет, сказали трое нынешних и бывших сотрудников. Г-н Чен ранее занимался обеспечением качества программного обеспечения.
Г-н Хаурек сказал, что г-н Чен обладает «глубоким опытом в области техники, данных и разработки продуктов» и что его команда подчиняется руководителю в Калифорнии. Он сказал, что TikTok имеет несколько команд, работающих над конфиденциальностью и безопасностью, в том числе более 1500 сотрудников в команде по безопасности данных в США, и что на завершение проекта в Техасе было потрачено более 1,5 миллиарда долларов.
ByteDance и TikTok не уточнили, когда техасский проект будет завершен. По словам TikTok, когда это произойдет, общение с использованием пользовательских данных в США будет осуществляться с помощью отдельного «внутреннего инструмента для совместной работы».
Аарон Кролик предоставленный отчет. Ален Делакерьер способствовал исследованию.
