Entenda como o tiktok usa dados dos usuários

Em agosto de 2021, o TikTok recebeu uma reclamação de um usuário britânico, que sinalizou que um homem estava “se expondo e brincando consigo mesmo” em uma transmissão ao vivo no aplicativo de vídeo. Ela também descreveu o abuso passado que experimentou. Para resolver a reclamação, os funcionários do TikTok compartilharam o incidente em uma ferramenta interna de mensagens e colaboração chamada Lark, de acordo com documentos da empresa obtidos pelo The New York Times.

Os dados pessoais da britânica - incluindo sua foto, país de residência, endereço de protocolo de internet, dispositivo e IDs de usuário - também foram postados na plataforma, que é semelhante ao Slack e Microsoft Teams. Suas informações eram apenas uma parte dos dados do usuário do TikTok compartilhados no Lark, que é usado todos os dias por milhares de funcionários do proprietário chinês do aplicativo, ByteDance, inclusive por aqueles na China e segundo os documentos obtidos pelo The Times, as carteiras de motorista dos usuários americanos também estavam acessíveis na plataforma, assim como o conteúdo potencialmente ilegal de alguns usuários, como materiais de abuso sexual infantil. Em muitos casos, as informações estavam disponíveis nos “grupos” da Lark – essencialmente salas de bate-papo de funcionários, com milhares de membros.

A profusão de dados do usuário no Lark alarmou alguns funcionários do TikTok, especialmente porque os funcionários da ByteDance na China e em outros lugares podiam ver facilmente o material, de acordo com relatórios internos e depoimentos de quatro funcionários atuais e antigos. Desde pelo menos julho de 2021, vários funcionários de segurança alertaram os executivos da ByteDance e do TikTok sobre os riscos atrelados à plataforma, segundo os documentos e os atuais e ex-trabalhadores.

“Os funcionários de Pequim deveriam ser proprietários de grupos que contêm dados secretos” de usuários, perguntou um funcionário do TikTok em um relatório interno em julho passado.

Os materiais do usuário no Lark levantam questões sobre os dados e as práticas de privacidade do TikTok e mostram como ele está interligado com o ByteDance, assim como o aplicativo de vídeo enfrenta crescente escrutínio sobre seus possíveis riscos de segurança e laços com a China. Na semana passada, o governador de Montana assinou um projeto de lei proibindo o TikTok no estado a partir de 1º de janeiro. O aplicativo também foi proibido em universidades e agências governamentais e pelos militares.

O TikTok está sob pressão há anos para isolar suas operações nos Estados Unidos devido a preocupações de que possa fornecer dados sobre usuários americanos às autoridades chinesas. Para continuar operando nos Estados Unidos, o TikTok apresentou no ano passado um plano ao governo Biden, chamado Projeto Texas, definindo como armazenaria informações de usuários americanos dentro do país e bloquearia os dados de funcionários da ByteDance e TikTok fora dos Estados Unidos.

O TikTok minimizou o acesso que seus funcionários da China têm aos dados de usuários dos EUA. Em uma audiência no Congresso em março, o executivo-chefe da TikTok, Shou Chew , disse que esses dados eram usados ​​principalmente por engenheiros na China para “fins comerciais” e que a empresa tinha “protocolos rigorosos de acesso a dados” para proteger os usuários. Ele disse que muitas das informações do usuário disponíveis para os engenheiros já eram públicas.

Os relatórios internos e as comunicações de Lark parecem contradizer as declarações de Chew. Os dados da Lark do TikTok também foram armazenados em servidores na China no final do ano passado, disseram os quatro funcionários atuais e antigos. Os documentos vistos pelo The Times incluíam dezenas de capturas de tela de relatórios, mensagens de bate-papo e comentários de funcionários sobre Lark, além de vídeos e áudios de comunicações internas, de 2019 a 2022.

Alex Haurek, porta-voz do TikTok, chamou os documentos vistos pelo The Times de “datados” e contestou que eles contradizem as declarações de Chew. Ele disse que eles não descrevem com precisão “como lidamos com dados protegidos de usuários dos EUA, nem o progresso que fizemos no Projeto Texas”.

Ele acrescentou que o TikTok estava em processo de exclusão dos dados de usuários dos EUA coletados antes de junho de 2022, quando mudou a maneira como lidava com informações sobre usuários americanos e começou a enviar esses dados para servidores baseados nos EUA de propriedade de terceiros, em vez dos de propriedade. por TikTok ou ByteDance.

A empresa não respondeu a perguntas sobre se os dados da Lark foram armazenados na China. Ele se recusou a responder a perguntas sobre o envolvimento de funcionários da China na criação e compartilhamento de dados de usuários do TikTok em grupos Lark, mas disse que muitas das salas de bate-papo foram “fechadas no ano passado após analisar preocupações internas”.

Alex Stamos , diretor do Observatório da Internet da Universidade de Stanford e ex-chefe de segurança da informação do Facebook, disse que proteger os dados do usuário em uma organização é “o projeto técnico mais difícil” para a equipe de segurança de uma empresa de mídia social. Os problemas do TikTok, acrescentou, são agravados pela propriedade da ByteDance.

“Lark mostra que todos os processos de back-end são supervisionados pela ByteDance”, disse ele. “O TikTok é um verniz fino no ByteDance.”

A ByteDance introduziu o Lark em 2017. A ferramenta, que tem um equivalente apenas em chinês conhecido como Feishu, é usada por todas as subsidiárias da ByteDance, incluindo TikTok e seus 7.000 funcionários nos EUA. Lark possui uma plataforma de bate-papo, videoconferência, gerenciamento de tarefas e recursos de colaboração de documentos. Quando Chew foi questionado sobre o Lark na audiência de março, ele disse que era como “qualquer outra ferramenta de mensagens instantâneas” para corporações e o comparou ao Slack.

Lark tem sido usado para lidar com problemas de contas individuais do TikTok e compartilhar documentos que contêm informações de identificação pessoal desde pelo menos 2019, de acordo com os documentos obtidos pelo The Times.

Em junho de 2019, um funcionário do TikTok compartilhou uma imagem no Lark da carteira de motorista de uma mulher de Massachusetts. A mulher enviou a foto ao TikTok para verificar sua identidade. A imagem - que incluía seu endereço, data de nascimento, foto e número da carteira de motorista - foi postada em um grupo interno da Lark com mais de 1.100 pessoas que lidavam com o banimento e cancelamento de contas.

A carteira de motorista, bem como passaportes e carteiras de identidade de pessoas de países como Austrália e Arábia Saudita, estavam acessíveis no Lark desde o ano passado, de acordo com os documentos vistos pelo The Times. Lark também expôs os materiais de abuso sexual infantil dos usuários. Em uma conversa em outubro de 2019, os funcionários do TikTok discutiram o banimento de algumas contas que compartilhavam conteúdo de meninas com mais de 3 anos que faziam topless. Os trabalhadores também postaram as imagens no Lark.

Haurek, o porta-voz do TikTok, disse que os funcionários foram instruídos a nunca compartilhar tal conteúdo e denunciá-lo a uma equipe interna especializada em segurança infantil. Os funcionários do TikTok levantaram questões sobre tais incidentes. Em um relatório interno em julho passado, um funcionário perguntou se havia regras para lidar com dados de usuários em Lark. Will Farrell, o oficial de segurança interino da segurança de dados dos EUA da TikTok, que supervisionará os dados dos usuários dos EUA como parte do Projeto Texas, disse: “Nenhuma política no momento”.

Um engenheiro de segurança sênior da TikTok também disse no outono passado que pode haver milhares de grupos Lark manipulando dados de usuários de maneira incorreta. Em uma gravação obtida pelo The Times, o engenheiro disse que o TikTok precisava mover os dados “para fora da China e tirar Lark de Cingapura”. TikTok tem sede em Cingapura e Los Angeles.

Haurek chamou os comentários do engenheiro de “imprecisos” e disse que o TikTok revisou casos em que os grupos Lark estavam potencialmente manipulando dados de usuários de maneira incorreta e tomou medidas para resolvê-los. Ele disse que a empresa tinha um novo processo para lidar com conteúdo sensível e impôs novos limites ao tamanho dos grupos Lark.

A divisão de privacidade e segurança da TikTok passou por reorganizações e saídas no ano passado, que alguns funcionários disseram ter desacelerado ou deixado de lado projetos de privacidade e segurança em um momento crítico.

Roland Cloutier, especialista em segurança cibernética e veterano da Força Aérea dos EUA, deixou o cargo no ano passado como chefe da organização de segurança global do TikTok, e uma parte de sua unidade foi colocada em uma equipe focada em privacidade liderada por Yujun Chen, conhecido pelos colegas como Woody, um executivo baseado na China que trabalha na ByteDance há anos, disseram três funcionários atuais e antigos. Chen anteriormente se concentrava na garantia de qualidade de software.

Haurek disse que Chen tinha “profundo conhecimento técnico, de dados e de engenharia de produto” e que sua equipe se reportava a um executivo na Califórnia. Ele disse que o TikTok tinha várias equipes trabalhando em privacidade e segurança, incluindo mais de 1.500 funcionários em sua equipe de segurança de dados nos EUA, e que gastou mais de US$ 1,5 bilhão para realizar o Projeto Texas.

ByteDance e TikTok não disseram quando o Project Texas estará completo. Quando for, disse o TikTok, as comunicações envolvendo dados de usuários dos EUA ocorrerão em uma “ferramenta de colaboração interna” separada.