В дата-центрах TikTok выявили огромные дыры в безопасности, а сотрудников уличили в майнинге

На протяжении многих лет компания ByteDance, владеющая платформой TikTok, сообщала законодателям США, что частные данные её американских пользователей надежно защищены — они хранятся в центрах обработки данных, расположенных в Северной Вирджинии. Расследование Forbes показало, что в дата-центрах TikTok есть огромные проблемы с безопасностью.

Источник изображений: Pixabay

Интервью, взятые у семи нынешних и бывших сотрудников и более 60 «слитых» документов, фотографий и видеозаписей из центров обработки данных показывают уязвимости в системе безопасности, начиная от немаркированных флэш-накопителей, подключенных к серверам, посетителей без сопровождения и заканчивая коробками с жесткими дисками, оставленными без присмотра в коридорах. Источники предполагают, что эти проблемы являются результатом того, что TikTok пытался быстро увеличить объем хранилища данных и позволял допущения в безопасности на этом пути.

Документы, фотографии и интервью также свидетельствуют о том, что деятельность дата-центров TikTok по-прежнему тесно связана с бизнесом ByteDance в Китае. Среди прочих поставщиков центры обработки данных используют серверы от Inspur — компании, которая, по словам Пентагона, в 2020 году контролировалась китайскими военными, и которую в прошлом месяце Министерство торговли США внесло в санкционный список. Документы также показывают, что еще на прошлой неделе заказы на серверные работы отправлялись техникам дата-центров компанией Beijing ByteDance Technology, дочерней компанией ByteDance, частично принадлежащей китайскому правительству, которое, как неоднократно утверждала TikTok, не контролирует её деятельность.

Эти разоблачения произошли в критический момент для TikTok, который столкнулся с федеральным уголовным расследованием после обвинений в слежке за журналистами. Власти США могут потребовать либо продать TikTok, или полностью его запретить в США. Двухпартийная коалиция законодателей вместе с Белым домом выразила обеспокоенность тем, что китайское правительство может использовать контроль ByteDance над TikTok для сбора ценных данных об американских гражданах или влияния на мысли и настроения пользователей.

«Каждая новая (такая) история вызывает все большую озабоченность и приводит дополнительные примеры того, что TikTok, похоже, искажает свои методы обеспечения безопасности данных», — сказал сенатор Марк Уорнер (Mark Warner), который в последние месяцы возглавил усилия Сената по запрету TikTok.

Ответом TikTok на эти опасения — и угрозу потенциального запрета — является предложение, известное как «Проект Техас» (Project Texas), согласно которому TikTok удалит данные американских пользователей с серверов в Вирджинии и изолирует их в ряде техасских центров обработки данных, принадлежащих Oracle. Однако генеральный директор TikTok Шу Зи Чу (Shou Zi Chew) в прошлом месяце дал показания перед комитетом Палаты представителей, что данные американских пользователей и сегодня «сидят на наших серверах в Вирджинии».

Отвечая на подробный список вопросов Forbes, представитель TikTok Морин Шанахан (Maureen Shanahan) признала использование серверов Inspur, но сказала, что TikTok «не закупает продукцию у этого поставщика уже довольно давно». Inspur также работала с другими крупными американскими компаниями, включая Microsoft, IBM и Intel. Inspur не ответила на просьбу о комментариях, как и Министерство торговли и Министерство обороны США.

Шанахан заявила, что заказы на работы от Beijing ByteDance Technology были «артефактами тикет-системы», которая «не предоставляет никакого доступа к данным пользователей», и что Beijing ByteDance Technology «не имеет никакого отношения к управлению, эксплуатации или контролю наших американских центров обработки данных». Она также отметила, что TikTok перестал направлять новый трафик американских пользователей в дата-центры в Вирджинии в октябре 2022 года, что означает, что личные сообщения и другие данные американских пользователей, созданные до октября 2022 года, все ещё хранятся на этих серверах, но более поздние — нет. TikTok заявляет, что планирует удалить эти данные с серверов до конца 2023 года.

В январе 2023 года подразделение безопасности данных TikTok в США — новая организация, которая в рамках проекта «Техас» будет обеспечивать безопасность и доступ к данным американских пользователей, — опубликовала в блоге сообщение, в котором говорилось следующее: «Наш центр обработки данных в Вирджинии включает в себя средства физического и логического контроля безопасности, такие как закрытый вход, брандмауэры и технологии обнаружения вторжений». Однако семь нынешних и бывших сотрудников, которые анонимно беседовали с Forbes, заявили, что безопасность на объектах соблюдается небрежно.

По словам сотрудников, системы физической безопасности варьируются в зависимости от здания, но в большинстве случаев используется система пропусков. Политика компании гласит, что гостей, включая курьеров, поставщиков оборудования, электриков и других специалистов, должен постоянно сопровождать сотрудник. Но на практике, по словам четырех сотрудников, так происходит не всегда: «У нас нет времени следить за всеми».

Сотрудники рассказали о многочисленных системах учета, используемых компанией для отслеживания ремонта серверов и другого оборудования в центрах, включая пять отдельных внутренних инструментов регистрации заявок. Однако три источника сообщили Forbes, что им известно об изменениях, внесенных в серверы, которые не были отражены ни в одной системе учёта, а четверо сказали, что видели немаркированные флэш-накопители, подключенные к серверам. TikTok заявила, что эти утверждения не соответствуют действительности, согласно внутреннему мониторингу безопасности компании.

Четыре источника также сообщили, что размагничивающие устройства — машины, используемые для стирания и уничтожения старых жестких дисков — часто ломались, что вынуждало сотрудников отвозить диски в другие центры обработки данных для утилизации. Человек, который был за это ответственен, поделился своим беспокойством: «Любой человек со злым умыслом мог просто взять их, и мы бы об этом не узнали». Компания TikTok признала, что в прошлом у нее была такая проблема, но утверждает, что она была решена.

На фотографиях 2020 года, предоставленных одним источником, изображены жесткие диски, оставленные без присмотра в открытых коробках в коридорах центра обработки данных в штате Вирджиния. В ответ на описание этих дисков Шанахан заявила: «Во время монтажных работ (установке серверных стоек), до передачи в эксплуатацию, нередко можно увидеть такие предметы, как оставленные без присмотра деревянные поддоны или картонные коробки с новыми жесткими дисками, не содержащими данных. Наша политика обращения с носителями информации требует, чтобы использованные носители, ожидающие уничтожения, помещались в запертые контейнеры».

По словам Санджукты Дас Смит (Sanjukta Das Smith), заведующей кафедрой Науки управления в Школе менеджмента Университета Буффало и эксперта по ресурсному обеспечению ЦОД, недостаточные инвестиции в безопасность центров обработки данных являются общеотраслевой проблемой. В интервью она сказала: «Во многих случаях безопасность отходит на второй план, потому что в большинстве случаев при взаимодействии с клиентами основное внимание уделяется впечатлениям клиента: как быстро загружается информация на его устройствах».

Несмотря на эти системные проблемы, действительность, описанная сотрудниками TikTok, иногда расходилась с отраслевыми нормами, описанными Дас Смит. Например, в дата-центрах, которые она посетила, по словам Смит, «даже если у вас есть разрешение, это не значит, что Вы можете свободно бродить вокруг. Должно быть сопровождение». Но в центрах TikTok дело обстоит иначе: «Мы никогда не знали, когда появятся эти люди, они просто приходили и просили дать им доступ, заходили, делали то, что делали, и уходили». Дас Смит подчеркивает, что она никогда не видела, чтобы USB-накопители использовались в центрах обработки данных, учитывая, как легко переносить на них вредоносное программное обеспечение.

Брюс Шнайер (Bruce Schneier), сотрудник гарвардского Центра Беркмана Кляйна по Интернету и технологиям и преподаватель Гарвардской школы Кеннеди, предостерег от скорых суждений из-за единичных случаев. Как и Смит, Шнайер отметил, что проблемы безопасности носят общеиндустриальный характер. Он упомянул Twitter, который, по его словам, испытывает трудности с безопасностью из-за того, что стремится быстро развиваться. Что касается TikTok, он сказал: «Я уверен, что там есть халатность. Как и любая крупная технологическая компания, они заботятся о прибыли, а безопасность стоит дорого».

Расследование Forbes также выявило другие проблемы с дата-центрами TikTok в Вирджинии. Источники выразили обеспокоенность по поводу безопасности зданий — трое рассказали, что их иногда просили работать в зданиях, которые все еще находятся на стадии строительства, и сообщили, что в некоторых зданиях сигнализация срабатывает так часто, что не имеет смысла. В TikTok заявили, что сигнализация проверяется по мере необходимости.

На фотографиях и видео изнутри дата-центров также видны деревянные поддоны и картонные коробки, оставленные курьерами в серверных комнатах, а это пожарная опасность в случае перегрева серверов. Аудиозаписи внутренних совещаний TikTok отмечают, что тепло в этих дата-центрах было проблемой и раньше: на совещании в сентябре 2021 года можно услышать, как директор по безопасности описывает случай, когда серверы в Вирджинии перегрелись, и данные американских пользователей были перенаправлены на серверы в Сингапуре до устранения проблемы.

Шесть источников также независимо друг от друга сообщили Forbes, что слышали о том, что сотрудники использовали серверы для майнинга криптовалюты. Компания TikTok заявила, что это было бы нарушением ее политики и что у нее «имеются средства контроля безопасности для выявления и предотвращения такого рода деятельности». Дас Смит отметила, что центры обработки данных часто не раскрывают все имеющиеся у них средства защиты, поскольку это дало бы хакерам «дорожную карту» для их преодоления. Тем не менее, эти сотрудников заявили, что безопасность в дата-центрах TikTok была слабее, чем в других дата-центрах, где они работали.

«ByteDance просто наплевать», — сказал один из источников, отметив, что компания часто жертвовала стандартами безопасности, чтобы быстрее запустить серверы. «Они просто двигались вперед так быстро, как только могли», — отметил источник.