#TinTứcHômNay: TikTok chia sẻ dữ liệu người dùng
Trong tháng 8 năm 2021, một người dùng tại Anh đã khiếu nại rằng một người đàn ông đã lộ hàng và xúc phạm tại một buổi phát trực tiếp trên TikTok. Để giải quyết khiếu nại, nhân viên của TikTok đã chia sẻ vụ việc trên nền tảng cộng tác Lark, nơi hàng nghìn nhân viên của ByteDance, chủ sở hữu của TikTok, sử dụng hàng ngày.
Dữ liệu người dùng trên TikTok, bao gồm cả giấy phép lái xe của người dùng Mỹ và nội dung có khả năng bất hợp pháp, cũng được chia sẻ trên Lark với hàng nghìn thành viên. Việc có quá nhiều dữ liệu người dùng trên Lark khiến cho nhân viên TikTok lo lắng, đặc biệt là vì nhân viên ByteDance ở Trung Quốc và các nơi khác có thể dễ dàng xem tài liệu.
Alex Stamos, cựu giám đốc an ninh thông tin của Facebook, cho biết việc bảo mật dữ liệu người dùng trong một tổ chức là “dự án kỹ thuật khó nhất” đối với nhóm bảo mật của một công ty truyền thông xã hội. Những vấn đề này của TikTok còn phức tạp hơn do quyền sở hữu của ByteDance. Lark cho thấy rằng tất cả các quy trình phụ trợ đều được giám sát bởi ByteDance. TikTok là một lớp vỏ mỏng trên ByteDance.
Vào tháng 6 năm 2019, một nhân viên của TikTok đã chia sẻ trên Lark một hình ảnh về bằng lái xe của một phụ nữ Massachusetts. Hình ảnh này đã được đăng lên một nhóm Lark nội bộ với hơn 1.100 người xử lý việc cấm và bỏ. Các tài liệu có được còn đặt ra câu hỏi về các hoạt động bảo mật và dữ liệu của TikTok, đồng thời cho thấy mức độ gắn bó của nó với ByteDance.
Việc chia sẻ dữ liệu người dùng đang là một vấn đề lớn đối với TikTok, và đặc biệt là trong bối cảnh những lo ngại về việc cung cấp dữ liệu người dùng Mỹ cho chính quyền Trung Quốc.
Nguồn: https://www.nytimes.com/2023/05/24/technology/inside-how-tiktok-shares-user-data-lark.html
Vào tháng 8 năm 2021, TikTok đã nhận được đơn khiếu nại từ một người dùng ở Anh, người này đã gắn cờ rằng một người đàn ông đã “lộ hàng và đùa giỡn với chính mình” trong một buổi phát trực tiếp mà cô ấy tổ chức trên ứng dụng video. Cô ấy cũng mô tả sự lạm dụng trong quá khứ mà cô ấy đã trải qua.
Để giải quyết khiếu nại, các nhân viên của TikTok đã chia sẻ vụ việc trên một công cụ cộng tác và nhắn tin nội bộ có tên Lark, theo tài liệu của công ty mà The New York Times có được. Dữ liệu cá nhân của người phụ nữ Anh — bao gồm ảnh, quốc gia cư trú, địa chỉ giao thức internet, thiết bị và ID người dùng — cũng được đăng trên nền tảng, tương tự như Slack và Microsoft Teams.
Thông tin của cô ấy chỉ là một phần dữ liệu người dùng TikTok được chia sẻ trên Lark, được hàng nghìn nhân viên của chủ sở hữu người Trung Quốc của ứng dụng sử dụng hàng ngày. ByteDance, bao gồm cả những người ở Trung Quốc. Theo các tài liệu mà The Times có được, giấy phép lái xe của người dùng Mỹ cũng có thể truy cập được trên nền tảng này, cũng như nội dung có khả năng bất hợp pháp của một số người dùng, chẳng hạn như tài liệu lạm dụng tình dục trẻ em. Trong nhiều trường hợp, thông tin có sẵn trong các “nhóm” của Lark — về cơ bản là các phòng trò chuyện của nhân viên — với hàng nghìn thành viên.
Theo báo cáo nội bộ và bốn nhân viên hiện tại và trước đây, việc có quá nhiều dữ liệu người dùng trên Lark đã khiến một số nhân viên TikTok lo lắng, đặc biệt là vì nhân viên ByteDance ở Trung Quốc và các nơi khác có thể dễ dàng xem tài liệu. Kể từ ít nhất là tháng 7 năm 2021, một số nhân viên an ninh đã cảnh báo các giám đốc điều hành của ByteDance và TikTok về những rủi ro liên quan đến nền tảng này, theo các tài liệu cũng như các nhân viên hiện tại và trước đây.
Một nhân viên của TikTok đã hỏi trong một báo cáo nội bộ vào tháng 7 năm ngoái: “Các nhân viên ở Bắc Kinh có nên trở thành chủ sở hữu của các nhóm chứa dữ liệu bí mật” của người dùng hay không.
Các tài liệu dành cho người dùng trên Lark đặt ra câu hỏi về các hoạt động bảo mật và dữ liệu của TikTok, đồng thời cho thấy mức độ gắn bó của nó với ByteDance, cũng như ứng dụng video đang phải đối mặt với sự giám sát chặt chẽ về các rủi ro bảo mật tiềm ẩn và mối quan hệ với Trung Quốc. Tuần trước, thống đốc Montana đã ký một dự luật cấm TikTok trong tiểu bang kể từ ngày 1 tháng 1. Ứng dụng này cũng đã bị cấm tại trường đại học và các cơ quan chính phủ và bởi quân đội.
Trong nhiều năm, TikTok đã chịu áp lực buộc phải ngừng hoạt động tại Mỹ vì lo ngại rằng họ có thể cung cấp dữ liệu về người dùng Mỹ cho chính quyền Trung Quốc. Để tiếp tục hoạt động tại Hoa Kỳ, TikTok năm ngoái đã đệ trình một kế hoạch cho chính quyền Biden, được gọi là Dự án Texas, đưa ra cách nó sẽ lưu trữ thông tin người dùng Mỹ ở trong nước và ngăn chặn dữ liệu từ các nhân viên của ByteDance và TikTok bên ngoài Hoa Kỳ.
TikTok đã hạ thấp quyền truy cập mà các nhân viên làm việc tại Trung Quốc của họ có đối với dữ liệu người dùng ở Hoa Kỳ. trong một điều trần quốc hội Tháng Ba, Giám đốc điều hành của TikTok, Shou Chew, cho biết dữ liệu đó chủ yếu được các kỹ sư ở Trung Quốc sử dụng cho “mục đích kinh doanh” và công ty có “các giao thức truy cập dữ liệu nghiêm ngặt” để bảo vệ người dùng. Ông cho biết nhiều thông tin người dùng dành cho các kỹ sư đã được công khai.
Các báo cáo nội bộ và thông tin liên lạc từ Lark dường như mâu thuẫn với tuyên bố của ông Chew. Dữ liệu của Lark từ TikTok cũng được lưu trữ trên các máy chủ ở Trung Quốc vào cuối năm ngoái, bốn nhân viên hiện tại và cựu nhân viên cho biết.
Các tài liệu mà The Times xem được bao gồm hàng tá ảnh chụp màn hình các báo cáo, tin nhắn trò chuyện và nhận xét của nhân viên về Lark, cũng như video và âm thanh về hoạt động liên lạc nội bộ, kéo dài từ năm 2019 đến năm 2022.
Alex Haurek, phát ngôn viên của TikTok, gọi các tài liệu mà The Times xem là “đã lỗi thời”. Anh ấy nói rằng họ không mô tả chính xác “cách chúng tôi xử lý dữ liệu người dùng được bảo vệ ở Hoa Kỳ, cũng như tiến độ chúng tôi đã đạt được trong Dự án Texas.”
Ông nói thêm rằng TikTok đang trong quá trình xóa dữ liệu người dùng Hoa Kỳ mà nó đã thu thập trước tháng 6 năm 2022, khi nó thay đổi cách xử lý thông tin về người dùng Mỹ và bắt đầu gửi dữ liệu đó đến các máy chủ có trụ sở tại Hoa Kỳ do bên thứ ba sở hữu thay vì những máy chủ thuộc sở hữu của bên đó. của TikTok hoặc ByteDance.
Công ty đã không trả lời các câu hỏi về việc dữ liệu của Lark có được lưu trữ ở Trung Quốc hay không. Nó từ chối trả lời các câu hỏi về sự tham gia của các nhân viên làm việc tại Trung Quốc trong việc tạo và chia sẻ dữ liệu người dùng TikTok trong các nhóm Lark, nhưng cho biết nhiều phòng trò chuyện đã “đóng cửa vào năm ngoái sau khi xem xét những lo ngại nội bộ”.
Alex Stamos, giám đốc Đài quan sát Internet của Đại học Stanford và cựu giám đốc an ninh thông tin của Facebook, cho biết việc bảo mật dữ liệu người dùng trong một tổ chức là “dự án kỹ thuật khó nhất” đối với nhóm bảo mật của một công ty truyền thông xã hội. Ông nói thêm, các vấn đề của TikTok còn phức tạp hơn do quyền sở hữu của ByteDance.
Ông nói: “Lark cho bạn thấy rằng tất cả các quy trình phụ trợ đều được giám sát bởi ByteDance. “TikTok là một lớp vỏ mỏng trên ByteDance.”
ByteDance đã giới thiệu Lark vào năm 2017. Công cụ này, có tên gọi tương đương chỉ dành cho Trung Quốc là Feishu, được sử dụng bởi tất cả các công ty con của ByteDance, bao gồm cả TikTok và 7.000 nhân viên tại Hoa Kỳ. Lark nổi bật với nền tảng trò chuyện, hội nghị truyền hình, quản lý tác vụ và các tính năng cộng tác tài liệu. Khi ông Chew được hỏi về Lark trong phiên điều trần vào tháng 3, ông nói rằng nó giống như “bất kỳ công cụ nhắn tin tức thời nào khác” dành cho các tập đoàn và so sánh nó với Slack.
Lark đã được sử dụng để xử lý các vấn đề về tài khoản TikTok cá nhân và chia sẻ tài liệu chứa thông tin nhận dạng cá nhân ít nhất kể từ năm 2019, theo các tài liệu mà The Times có được.
Vào tháng 6 năm 2019, một nhân viên của TikTok đã chia sẻ trên Lark một hình ảnh về bằng lái xe của một phụ nữ Massachusetts. Người phụ nữ đã gửi cho TikTok bức ảnh để xác minh danh tính của mình. Hình ảnh — bao gồm địa chỉ, ngày sinh, ảnh và số bằng lái xe — đã được đăng lên một nhóm Lark nội bộ với hơn 1.100 người xử lý việc cấm và bỏ cấm tài khoản.
Giấy phép lái xe, cũng như hộ chiếu và thẻ căn cước của những người từ các quốc gia bao gồm Úc và Ả Rập Xê Út, có thể truy cập được trên Lark kể từ năm ngoái, theo các tài liệu mà The Times đã xem.
Lark cũng tiết lộ tài liệu lạm dụng tình dục trẻ em của người dùng. Trong một cuộc trò chuyện vào tháng 10 năm 2019, các nhân viên của TikTok đã thảo luận về việc cấm một số tài khoản chia sẻ nội dung về các bé gái trên 3 tuổi để ngực trần. Công nhân cũng đăng những hình ảnh trên Lark.
Ông Haurek, người phát ngôn của TikTok, cho biết các nhân viên đã được hướng dẫn không bao giờ chia sẻ nội dung như vậy và phải báo cáo nội dung đó cho nhóm chuyên trách về an toàn trẻ em nội bộ.
Nhân viên của TikTok đã đặt ra câu hỏi về những sự cố như vậy. Trong một báo cáo nội bộ vào tháng 7 năm ngoái, một nhân viên đã hỏi liệu có quy tắc nào để xử lý dữ liệu người dùng trong Lark hay không. Will Farrell, nhân viên bảo mật tạm thời của TikTok’s US Data Security, cơ quan sẽ giám sát dữ liệu người dùng Hoa Kỳ như một phần của Dự án Texas, cho biết: “Không có chính sách nào vào thời điểm đó.”
Một kỹ sư bảo mật cấp cao tại TikTok cũng cho biết vào mùa thu năm ngoái rằng có thể có hàng nghìn nhóm Lark đã xử lý sai dữ liệu người dùng. Trong một đoạn ghi âm mà The Times có được, kỹ sư này cho biết TikTok cần chuyển dữ liệu “ra khỏi Trung Quốc và đưa Lark ra khỏi Singapore”. TikTok có trụ sở tại Singapore và Los Angeles.
Ông Haurek gọi nhận xét của kỹ sư là “không chính xác” và cho biết TikTok đã xem xét các trường hợp nhóm Lark có khả năng xử lý sai dữ liệu người dùng và thực hiện các bước để giải quyết chúng. Ông cho biết công ty đã có một quy trình mới để xử lý nội dung nhạy cảm và đã đặt ra các giới hạn mới về quy mô của các nhóm Lark.
Bộ phận bảo mật và quyền riêng tư của TikTok đã trải qua các đợt tái tổ chức và rời đi trong năm qua, điều mà một số nhân viên cho biết đã làm chậm lại hoặc bỏ qua các dự án bảo mật và quyền riêng tư vào thời điểm quan trọng.
Roland Cloutier, một chuyên gia an ninh mạng và là cựu chiến binh Không quân Hoa Kỳ, đã từ chức vào năm ngoái với tư cách là người đứng đầu tổ chức an ninh toàn cầu của TikTok, và một phần đơn vị của anh ấy được đưa vào một nhóm tập trung vào quyền riêng tư do Yujun Chen, được các đồng nghiệp gọi là Woody, lãnh đạo. một giám đốc điều hành có trụ sở tại Trung Quốc đã làm việc tại ByteDance trong nhiều năm, ba nhân viên hiện tại và cựu nhân viên cho biết. Ông Chen trước đây tập trung vào đảm bảo chất lượng phần mềm.
Ông Haurek nói rằng ông Chen có “chuyên môn sâu về kỹ thuật, dữ liệu và sản phẩm” và nhóm của ông đã báo cáo với một giám đốc điều hành ở California. Anh ấy nói rằng TikTok có nhiều nhóm làm việc về quyền riêng tư và bảo mật, bao gồm hơn 1.500 công nhân trong nhóm Bảo mật dữ liệu Hoa Kỳ và họ đã chi hơn 1,5 tỷ đô la để thực hiện Dự án Texas.
ByteDance và TikTok chưa cho biết khi nào Project Texas sẽ hoàn thành. Khi đó, TikTok cho biết, các giao tiếp liên quan đến dữ liệu người dùng ở Hoa Kỳ sẽ diễn ra trên một “công cụ cộng tác nội bộ” riêng biệt.
Aaron Krolik báo cáo đóng góp. Alain Delaquérière nghiên cứu đóng góp.
