В дата-центрах TikTok выявили огромные дыры в безопасности, а сотрудников уличили в майнинге

На протяжении многих лет компания ByteDance, владеющая платформой TikTok, сообщала законодателям США, что частные данные её американских пользователей надежно защищены — они хранятся в центрах обработки данных, расположенных в Северной Вирджинии. Расследование Forbes показало, что в дата-центрах TikTok есть огромные проблемы с безопасностью.

Интервью, взятые у семи нынешних и бывших сотрудников и более 60 «слитых» документов, фотографий и видеозаписей из центров обработки данных показывают уязвимости в системе безопасности, начиная от немаркированных флэш-накопителей, подключенных к серверам, посетителей без сопровождения и заканчивая коробками с жесткими дисками, оставленными без присмотра в коридорах. Источники предполагают, что эти проблемы являются результатом того, что TikTok пытался быстро увеличить объем хранилища данных и позволял допущения в безопасности на этом пути.

Документы, фотографии и интервью также свидетельствуют о том, что деятельность дата-центров TikTok по-прежнему тесно связана с бизнесом ByteDance в Китае. Среди прочих поставщиков центры обработки данных используют серверы от Inspur — компании, которая, по словам Пентагона, в 2020 году контролировалась китайскими военными, и которую в прошлом месяце Министерство торговли США внесло в санкционный список. Документы также показывают, что еще на прошлой неделе заказы на серверные работы отправлялись техникам дата-центров компанией Beijing ByteDance Technology, дочерней компанией ByteDance, частично принадлежащей китайскому правительству, которое, как неоднократно утверждала TikTok, не контролирует её деятельность.

Эти разоблачения произошли в критический момент для TikTok, который столкнулся с федеральным уголовным расследованием после обвинений в слежке за журналистами. Власти США могут потребовать либо продать TikTok, или полностью его запретить в США. Двухпартийная коалиция законодателей вместе с Белым домом выразила обеспокоенность тем, что китайское правительство может использовать контроль ByteDance над TikTok для сбора ценных данных об американских гражданах или влияния на мысли и настроения пользователей.

«Каждая новая (такая) история вызывает все большую озабоченность и приводит дополнительные примеры того, что TikTok, похоже, искажает свои методы обеспечения безопасности данных», — сказал сенатор Марк Уорнер (Mark Warner), который в последние месяцы возглавил усилия Сената по запрету TikTok.

Ответом TikTok на эти опасения — и угрозу потенциального запрета — является предложение, известное как «Проект Техас» (Project Texas), согласно которому TikTok удалит данные американских пользователей с серверов в Вирджинии и изолирует их в ряде техасских центров обработки данных, принадлежащих Oracle. Однако генеральный директор TikTok Шу Зи Чу (Shou Zi Chew) в прошлом месяце дал показания перед комитетом Палаты представителей, что данные американских пользователей и сегодня «сидят на наших серверах в Вирджинии».

Отвечая на подробный список вопросов Forbes, представитель TikTok Морин Шанахан (Maureen Shanahan) признала использование серверов Inspur, но сказала, что TikTok «не закупает продукцию у этого поставщика уже довольно давно». Inspur также работала с другими крупными американскими компаниями, включая Microsoft, IBM и Intel. Inspur не ответила на просьбу о комментариях, как и Министерство торговли и Министерство обороны США.

Шанахан заявила, что заказы на работы от Beijing ByteDance Technology были «артефактами тикет-системы», которая «не предоставляет никакого доступа к данным пользователей», и что Beijing ByteDance Technology «не имеет никакого отношения к управлению, эксплуатации или контролю наших американских центров обработки данных». Она также отметила, что TikTok перестал направлять новый трафик американских пользователей в дата-центры в Вирджинии в октябре 2022 года, что означает, что личные сообщения и другие данные американских пользователей, созданные до октября 2022 года, все ещё хранятся на этих серверах, но более поздние — нет. TikTok заявляет, что планирует удалить эти данные с серверов до конца 2023 года.

В январе 2023 года подразделение безопасности данных TikTok в США — новая организация, которая в рамках проекта «Техас» будет обеспечивать безопасность и доступ к данным американских пользователей, — опубликовала в блоге сообщение, в котором говорилось следующее: «Наш центр обработки данных в Вирджинии включает в себя средства физического и логического контроля безопасности, такие как закрытый вход, брандмауэры и технологии обнаружения вторжений». Однако семь нынешних и бывших сотрудников, которые анонимно беседовали с Forbes, заявили, что безопасность на объектах соблюдается небрежно.

По словам сотрудников, системы физической безопасности варьируются в зависимости от здания, но в большинстве случаев используется система пропусков. Политика компании гласит, что гостей, включая курьеров, поставщиков оборудования, электриков и других специалистов, должен постоянно сопровождать сотрудник. Но на практике, по словам четырех сотрудников, так происходит не всегда: «У нас нет времени следить за всеми».

Сотрудники рассказали о многочисленных системах учета, используемых компанией для отслеживания ремонта серверов и другого оборудования в центрах, включая пять отдельных внутренних инструментов регистрации заявок. Однако три источника сообщили Forbes, что им известно об изменениях, внесенных в серверы, которые не были отражены ни в одной системе учёта, а четверо сказали, что видели немаркированные флэш-накопители, подключенные к серверам. TikTok заявила, что эти утверждения не соответствуют действительности, согласно внутреннему мониторингу безопасности компании.

Четыре источника также сообщили, что размагничивающие устройства — машины, используемые для стирания и уничтожения старых жестких дисков — часто ломались, что вынуждало сотрудников отвозить диски в другие центры обработки данных для утилизации. Человек, который был за это ответственен, поделился своим беспокойством: «Любой человек со злым умыслом мог просто взять их, и мы бы об этом не узнали». Компания TikTok признала, что в прошлом у нее была такая проблема, но утверждает, что она была решена.