Durante anos, a ByteDance, dona da plataforma TikTok, vem dizendo aos legisladores dos EUA que os dados privados de seus usuários americanos estão seguros, armazenados em data centers localizados no norte da Virgínia. Uma investigação da Forbes revelou que os datacenters do TikTok têm enormes problemas de segurança.
Entrevistas com sete funcionários atuais e ex-funcionários e mais de 60 documentos, fotos e vídeos “vazados” de data centers mostram vulnerabilidades de segurança que vão desde drives flash não identificados conectados a servidores, visitantes desacompanhados a caixas de discos rígidos deixados sem vigilância nos corredores. Fontes sugerem que esses problemas são o resultado da tentativa do TikTok de aumentar rapidamente sua capacidade de armazenamento de dados e permitir suposições de segurança ao longo do caminho.
Documentos, fotografias e entrevistas também mostram que as operações do data center da TikTok ainda estão intimamente ligadas aos negócios da ByteDance na China. Entre outros fornecedores, os data centers usam servidores da Inspur, uma empresa que o Pentágono diz ter sido controlada pelos militares chineses em 2020 e colocada sob sanções pelo Departamento de Comércio dos EUA no mês passado. Os documentos também mostram que, na semana passada, pedidos de trabalho de servidor estavam sendo enviados a técnicos de data center pela Beijing ByteDance Technology, uma subsidiária da ByteDance parcialmente de propriedade do governo chinês, que o TikTok alegou repetidamente não controlar suas operações.
As revelações chegam em um momento crítico para o TikTok, que enfrenta uma investigação criminal federal após acusações de espionagem de jornalistas. As autoridades dos EUA podem exigir que o TikTok seja vendido ou banido totalmente nos EUA. Uma coalizão bipartidária de legisladores junto com a Casa Branca levantou preocupações de que o governo chinês poderia usar o controle da ByteDance sobre o TikTok para coletar dados valiosos sobre cidadãos americanos ou influenciar os pensamentos e sentimentos dos usuários.
«Cada nova (essa) história gera mais preocupação e fornece exemplos adicionais de como o TikTok parece estar deturpando suas práticas de segurança de dados”, disse o senador Mark Warner, que liderou os esforços do Senado para proibir o TikTok nos últimos meses.
A resposta do TikTok a essas preocupações – e à ameaça de um possível banimento – é uma proposta conhecida como “Projeto Texas”, segundo o qual o TikTok removeria dados de usuários dos EUA de servidores na Virgínia e os colocaria em quarentena em uma série de data centers de propriedade da Oracle no Texas. No entanto, o CEO da TikTok, Shou Zi Chew, testemunhou perante um comitê da Câmara no mês passado que os dados dos usuários dos EUA ainda estão “em nossos servidores na Virgínia”.
Respondendo a uma lista detalhada de perguntas da Forbes, a porta-voz do TikTok, Maureen Shanahan, reconheceu o uso de servidores Inspur, mas disse que o TikTok “não tem origem neste fornecedor há algum tempo”. A Inspur também trabalhou com outras grandes empresas dos EUA, incluindo Microsoft, IBM e Intel. A Inspur não respondeu a um pedido de comentário, assim como o Departamento de Comércio e o Departamento de Defesa dos EUA.
Shanahan disse que as ordens de serviço da Beijing ByteDance Technology eram “artefatos de um sistema de tickets” que “não fornecem nenhum acesso aos dados do usuário” e que a Beijing ByteDance Technology “não tem nada a ver com o gerenciamento, operação ou controle de nossos centros de processamento americanos. dados”. Ela também observou que o TikTok parou de enviar novo tráfego de usuários dos EUA para data centers na Virgínia em outubro de 2022, o que significa que mensagens privadas e outros dados de usuários dos EUA criados antes de outubro de 2022 ainda são armazenados nesses servidores, mas mais tarde – não. O TikTok diz que planeja remover esses dados dos servidores até o final de 2023.
Em janeiro de 2023, o braço de segurança de dados da TikTok nos EUA, uma nova entidade que protegerá e acessará os dados dos usuários dos EUA por meio do Project Texas, postou uma postagem no blog dizendo: “Nosso data center na Virgínia inclui controles de segurança físicos e lógicos, como entrada bloqueada, firewalls e tecnologias de detecção de intrusão.” No entanto, sete funcionários atuais e antigos que falaram anonimamente com a Forbes disseram que a segurança nas instalações era fraca.
Os sistemas de segurança física variam de acordo com o prédio, mas na maioria dos casos é usado um sistema de passagem, disseram os funcionários. A política da empresa estabelece que convidados, incluindo mensageiros, fornecedores de equipamentos, eletricistas e outros profissionais, devem estar sempre acompanhados por um funcionário. Mas, na prática, segundo quatro funcionários, nem sempre é assim: “Não temos tempo para acompanhar todo mundo”.
A equipe falou sobre os vários sistemas de contabilidade que a empresa usa para rastrear reparos em servidores e outros equipamentos nos centros, incluindo cinco ferramentas internas separadas de tíquetes. No entanto, três fontes disseram à Forbes que estavam cientes das alterações feitas nos servidores que não foram refletidas em nenhum sistema de contabilidade, e quatro disseram que viram unidades flash não marcadas conectadas aos servidores. O TikTok disse que essas alegações não são verdadeiras, de acordo com o monitoramento de segurança interno da empresa.
As quatro fontes também disseram que os desmagnetizadores – máquinas usadas para apagar e destruir discos rígidos antigos – muitas vezes quebravam, forçando os funcionários a levar os discos para outros centros de dados para reciclagem. A pessoa responsável compartilhou sua preocupação: “Qualquer pessoa com intenção maliciosa poderia simplesmente tê-los levado e não saberíamos disso”. O TikTok admitiu ter tido esse problema no passado, mas afirma que foi resolvido.
As fotos de 2020 fornecidas por uma fonte mostram discos rígidos abandonados em caixas abertas nos corredores de um data center na Virgínia. Em resposta à descrição dessas unidades, Shanahan afirmou: “Durante o trabalho de instalação (configuração dos racks do servidor), antes do comissionamento, não é incomum ver itens como paletes de madeira ou caixas de papelão com novos discos rígidos contendo nenhum dados. Nossa política de mídia exige que a mídia usada esperando para ser destruída seja colocada em contêineres trancados.”
De acordo com Sanjukta Das Smith, presidente de Ciência da Administração na Escola de Administração da Universidade de Buffalo e especialista em recursos de data center, o subinvestimento em segurança de data center é um problema de todo o setor. Em uma entrevista, ela disse: “Em muitos casos, a segurança fica em segundo plano porque a maioria das interações com os clientes se concentra na experiência do cliente: a rapidez com que as informações são carregadas em seus dispositivos”.
Apesar desses problemas sistêmicos, a realidade descrita pelos funcionários do TikTok às vezes divergiu das normas do setor descritas por Das Smith. Por exemplo, nos data centers que ela visitou, Smith diz: “Mesmo se você tiver uma permissão, isso não significa que você pode circular livremente. Deve haver uma escolta.” Mas nos hubs do TikTok as coisas são diferentes: “Nunca sabíamos quando essas pessoas iriam aparecer, elas apenas vinham e pediam acesso, entravam, faziam o que faziam e iam embora”. Das Smith ressalta que nunca viu drives USB usados em data centers, dada a facilidade de transportar malware para eles.
Bruce Schneier, membro do Berkman Klein Center for Internet and Technology de Harvard e membro do corpo docente da Harvard’s Kennedy School, alertou contra julgamentos rápidos devido a casos isolados. Como Smith, Schneier observou que as preocupações com a segurança abrangem todo o setor. Ele mencionou o Twitter, que diz estar tendo problemas de segurança devido ao seu rápido crescimento. Em relação ao TikTok, ele disse: “Tenho certeza de que há negligência aí. Como qualquer grande empresa de tecnologia, eles se preocupam com os lucros e a segurança tem um custo.”
A investigação da Forbes também descobriu outros problemas com os datacenters TikTok na Virgínia. As fontes expressaram preocupação com a segurança dos prédios – três disseram que às vezes eram chamados para trabalhar em prédios ainda em construção, e relataram que em alguns prédios o alarme dispara com tanta frequência que não faz sentido. TikTok disse que o alarme é verificado conforme necessário.
Fotos e vídeos de dentro dos data centers também mostram paletes de madeira e caixas de papelão deixadas pelos correios nas salas dos servidores, um risco de incêndio se os servidores superaquecerem. Gravações de áudio de reuniões internas do TikTok observam que o calor nesses data centers já foi um problema antes: em uma reunião em setembro de 2021, pode-se ouvir o diretor de segurança descrevendo um caso em que servidores na Virgínia superaqueceram e dados de usuários americanos foram redirecionados para servidores em Cingapura até que o problema seja resolvido.
Seis fontes também disseram de forma independente à Forbes que ouviram falar de funcionários usando os servidores para minerar criptomoedas. O TikTok afirmou que isso seria uma violação de sua política e que “possui controles de segurança para detectar e prevenir esse tipo de atividade”. Das Smit observou que os data centers geralmente não divulgam todas as defesas que possuem, pois isso daria aos hackers um roteiro para superá-los. No entanto, esses funcionários disseram que a segurança nos data centers do TikTok era mais fraca do que em outros data centers onde trabalhavam.
«ByteDance simplesmente não dá a mínima”, disse uma fonte, observando que a empresa frequentemente sacrificava os padrões de segurança para colocar os servidores em funcionamento mais rapidamente. “Eles apenas seguiram em frente o mais rápido que puderam”, disse a fonte.