Cuộc phỏng vấn mới đây với 7 nhân viên, cựu nhân viên và hơn 60 báo cáo tài liệu, hình ảnh và video từ các trung tâm dữ liệu tiết lộ: TikTok có nhiều lỗ hổng bảo mật.
Trong nhiều năm, TikTok một mực phân trần rằng dữ liệu riêng tư của người dùng Mỹ sẽ được bảo mật. Tuy nhiên, cuộc phỏng vấn mới đây với 7 nhân viên, cựu nhân viên và hơn 60 báo cáo tài liệu, hình ảnh và video từ các trung tâm dữ liệu tiết lộ: TikTok có nhiều lỗ hổng bảo mật. Đây là hệ lụy sau khi ứng dụng này cố gắng tăng dung lượng lưu trữ quá nhanh và đôi khi, đi tắt đón đầu.
Tài liệu cho thấy hoạt động của trung tâm dữ liệu TikTok vẫn gắn liền với hoạt động kinh doanh của ByteDance tại Trung Quốc. Các trung tâm dữ liệu sử dụng máy chủ do Inspur sản xuất, một công ty do Trung Quốc kiểm soát và từng bị Bộ Thương mại Mỹ liệt vào danh sách đen. Các đơn đặt hàng cũng được gửi đến trung tâm dữ liệu bởi Beijing ByteDance Technology - công ty con của ByteDance.
Những tiết lộ này đến vào đúng thời điểm quan trọng của TikTok - ứng dụng video ngắn vốn đang phải đối mặt với cuộc điều tra hình sự liên bang và lệnh cấm hoàn toàn tại Mỹ. Giới chức lo ngại rằng Trung Quốc có thể sử dụng quyền kiểm soát của ByteDance đối với TikTok để lấy cắp dữ liệu về công dân Mỹ hoặc gây ảnh hưởng đến các diễn ngôn trong nước hoặc quốc tế.
Thượng nghị sĩ Mark Warner, người đã dẫn đầu nỗ lực cấm TikTok của Thượng viện trong những tháng gần đây, cho biết: “Mỗi câu chuyện mới làm dấy lên nhiều lo ngại hơn và cung cấp thêm bằng chứng về việc TikTok không trung thực đối với hoạt động bảo mật dữ liệu của mình”.
Đáp lại, TikTok công bố Dự án Texas và thông báo xóa toàn bộ dữ liệu riêng tư của người dùng Mỹ ra khỏi các máy chủ ở Virginia, sau đó cô lập chúng trong một tập hợp các trung tâm dữ liệu có trụ sở tại Texas.
Không biết Dự án Texas có làm hài lòng chính phủ hay không, song có lẽ nó sẽ khiến cơ hội được làm việc tại TikTok trở nên khó khăn hơn. Phiên bản TikTok của Mỹ sẽ phải được Oracle giải mã hoàn toàn, xây dựng lại và phân phối tới các cửa hàng ứng dụng Mỹ. Phía Oracle cũng sẽ phải xem xét mọi bản cập nhật ứng dụng để đảm bảo bảo mật cho người dùng.
Dẫu vậy, ngày Giám đốc điều hành TikTok Shou Zi Chew làm chứng trước Ủy ban Hạ viện vào tháng trước, dữ liệu này vẫn “đang nằm trong máy chủ tại Virginia”.
Trả lời danh sách chi tiết các câu hỏi từ Forbes, người phát ngôn của TikTok, Maureen Shanahan thừa nhận có sử dụng máy chủ của Inspur, song TikTok đã không còn liên lạc với nhà cung cấp này trong một khoảng thời gian dài. Được biết, Inspur cũng đã hợp tác với các công ty lớn khác của Mỹ như Microsoft, IBM và Intel.
Theo bà Shanahan, các đơn đặt hàng từ Beijing ByteDance Technology không cung cấp bất kỳ quyền truy cập nào vào dữ liệu người dùng. Bà cũng lưu ý rằng TikTok đã ngừng định tuyến lưu lượng truy cập mới của người dùng Mỹ đến các trung tâm dữ liệu Virginia vào tháng 10/2022. TikTok cho biết họ có kế hoạch xóa dữ liệu này khỏi máy chủ trước thời điểm cuối năm 2023.
“Trong vài năm qua, chúng tôi đã tăng cường đầu tư vào con người, quy trình và công nghệ để bảo vệ cộng đồng, bao gồm cả việc thành lập một nhóm chuyên phụ trách vận hành, bảo trì và tuân thủ các quy định của trung tâm dữ liệu”, bà Shanahan nói.
Giống như nhiều gã khổng lồ công nghệ, TikTok thuê không gian trong các trung tâm dữ liệu lớn ở Bắc Virginia. Các phòng dữ liệu được quản lý một phần bởi ByteDance và một phần bởi nhân viên hợp đồng.
Vào tháng 1 năm 2023, bộ phận Bảo mật dữ liệu Mỹ của TikTok — đơn vị mới, thuộc Dự án Texas đã đăng tải một bài đăng trên blog. Nội dung nêu rõ: “Trung tâm dữ liệu Virginia của chúng tôi có các biện pháp kiểm soát an toàn vật lý và logic, bao gồm kiểm soát tường lửa và công nghệ phát hiện xâm nhập”. Tuy nhiên, theo chia sẻ của 7 nhân viên TikTok, an ninh tại các trang web này lỏng lẻo và thay đổi liên tục.
Chính sách TikTok quy định rằng khách vào tòa nhà, bao gồm người giao hàng, thợ điện và một số chuyên gia phải luôn có nhân viên hộ tống. Tuy nhiên thực tế, điều đó không phải lúc nào cũng xảy ra. “Chúng tôi không có thời gian để kiểm soát tất cả khách ra vào”, một người nói.
Nguồn tin nội bộ cũng cho biết chiếc máy dùng để xóa và hủy ổ cứng cũ tại TikTok thường bị hỏng hoặc kẹt, buộc nhân viên phải mang đến các trung tâm dữ liệu khác để xử lý. Điều đó đồng nghĩa với việc bất kỳ ai ác ý đều có thể lấy cắp thông tin. Các bức ảnh được chụp vào năm 2020 cũng cho thấy nhiều ổ cứng bị bỏ quên ngoài hành lang một trung tâm dữ liệu ở Virginia.
“Trong quá trình xây dựng, trước khi bàn giao, không lấy gì làm lạ nếu thấy những hình ảnh này”, bà Shanahan phân trần.
Theo Sanjukta Das Smith, Chủ tịch Khoa học Quản lý và Hệ thống tại Trường Quản lý Đại học Buffalo, việc đầu tư không thỏa đáng vào việc bảo mật các trung tâm dữ liệu là vấn đề của toàn ngành. “Vấn đề bảo mật có xu hướng bị xem nhẹ bởi trọng tâm luôn là trải nghiệm của khách hàng. Mọi thứ tải trên thiết bị phải nhanh, phải có tính thẩm mỹ”, Sanjukta Das Smith nói.
Bất chấp những thách thức mang tính hệ thống, điều mà nhân viên TikTok mô tả đôi khi khác với các tiêu chuẩn ngành. Ví dụ, tại các trung tâm dữ liệu, khách sau khi làm thủ tục đăng ký cũng không được tự do đi lại trong tòa nhà. Tuy nhiên, điều này không xảy ra tại các trung tâm của TikTok.
Bruce Schneier, một thành viên tại Trung tâm Internet & Công nghệ Berkman Klein Harvard đã lưu ý về các vấn đề về bảo mật xảy ra trong toàn ngành công nghệ. “Tôi chắc chắn có sơ suất. Giống như bất kỳ công ty công nghệ lớn nào, họ chỉ quan tâm đến lợi nhuận trong khi bảo mật quá tốn kém.”
Theo Forbes, còn có tin đồn các nhân viên sử dụng máy chủ để khai thác tiền số. TikTok cho biết điều này là vi phạm chính sách công ty và rằng sẽ “các biện pháp kiểm soát bảo mật để ngăn chặn hành vi này”.
“Niềm tin của công chúng mà chúng ta bỏ nhiều công sức để xây dựng đã bị hủy hoại đáng kể bởi hành vi sai trái từ một số cá nhân”, Liang Rubo, Giám đốc điều hành ByteDance, viết cho nhân viên trong một email nội bộ.
Tài liệu cho thấy hoạt động của trung tâm dữ liệu TikTok vẫn gắn liền với hoạt động kinh doanh của ByteDance tại Trung Quốc. Các trung tâm dữ liệu sử dụng máy chủ do Inspur sản xuất, một công ty do Trung Quốc kiểm soát và từng bị Bộ Thương mại Mỹ liệt vào danh sách đen. Các đơn đặt hàng cũng được gửi đến trung tâm dữ liệu bởi Beijing ByteDance Technology - công ty con của ByteDance.
Những tiết lộ này đến vào đúng thời điểm quan trọng của TikTok - ứng dụng video ngắn vốn đang phải đối mặt với cuộc điều tra hình sự liên bang và lệnh cấm hoàn toàn tại Mỹ. Giới chức lo ngại rằng Trung Quốc có thể sử dụng quyền kiểm soát của ByteDance đối với TikTok để lấy cắp dữ liệu về công dân Mỹ hoặc gây ảnh hưởng đến các diễn ngôn trong nước hoặc quốc tế.
Thượng nghị sĩ Mark Warner, người đã dẫn đầu nỗ lực cấm TikTok của Thượng viện trong những tháng gần đây, cho biết: “Mỗi câu chuyện mới làm dấy lên nhiều lo ngại hơn và cung cấp thêm bằng chứng về việc TikTok không trung thực đối với hoạt động bảo mật dữ liệu của mình”.
Đáp lại, TikTok công bố Dự án Texas và thông báo xóa toàn bộ dữ liệu riêng tư của người dùng Mỹ ra khỏi các máy chủ ở Virginia, sau đó cô lập chúng trong một tập hợp các trung tâm dữ liệu có trụ sở tại Texas.
Không biết Dự án Texas có làm hài lòng chính phủ hay không, song có lẽ nó sẽ khiến cơ hội được làm việc tại TikTok trở nên khó khăn hơn. Phiên bản TikTok của Mỹ sẽ phải được Oracle giải mã hoàn toàn, xây dựng lại và phân phối tới các cửa hàng ứng dụng Mỹ. Phía Oracle cũng sẽ phải xem xét mọi bản cập nhật ứng dụng để đảm bảo bảo mật cho người dùng.
Dẫu vậy, ngày Giám đốc điều hành TikTok Shou Zi Chew làm chứng trước Ủy ban Hạ viện vào tháng trước, dữ liệu này vẫn “đang nằm trong máy chủ tại Virginia”.
Trả lời danh sách chi tiết các câu hỏi từ Forbes, người phát ngôn của TikTok, Maureen Shanahan thừa nhận có sử dụng máy chủ của Inspur, song TikTok đã không còn liên lạc với nhà cung cấp này trong một khoảng thời gian dài. Được biết, Inspur cũng đã hợp tác với các công ty lớn khác của Mỹ như Microsoft, IBM và Intel.
Theo bà Shanahan, các đơn đặt hàng từ Beijing ByteDance Technology không cung cấp bất kỳ quyền truy cập nào vào dữ liệu người dùng. Bà cũng lưu ý rằng TikTok đã ngừng định tuyến lưu lượng truy cập mới của người dùng Mỹ đến các trung tâm dữ liệu Virginia vào tháng 10/2022. TikTok cho biết họ có kế hoạch xóa dữ liệu này khỏi máy chủ trước thời điểm cuối năm 2023.
“Trong vài năm qua, chúng tôi đã tăng cường đầu tư vào con người, quy trình và công nghệ để bảo vệ cộng đồng, bao gồm cả việc thành lập một nhóm chuyên phụ trách vận hành, bảo trì và tuân thủ các quy định của trung tâm dữ liệu”, bà Shanahan nói.
Giống như nhiều gã khổng lồ công nghệ, TikTok thuê không gian trong các trung tâm dữ liệu lớn ở Bắc Virginia. Các phòng dữ liệu được quản lý một phần bởi ByteDance và một phần bởi nhân viên hợp đồng.
Vào tháng 1 năm 2023, bộ phận Bảo mật dữ liệu Mỹ của TikTok — đơn vị mới, thuộc Dự án Texas đã đăng tải một bài đăng trên blog. Nội dung nêu rõ: “Trung tâm dữ liệu Virginia của chúng tôi có các biện pháp kiểm soát an toàn vật lý và logic, bao gồm kiểm soát tường lửa và công nghệ phát hiện xâm nhập”. Tuy nhiên, theo chia sẻ của 7 nhân viên TikTok, an ninh tại các trang web này lỏng lẻo và thay đổi liên tục.
Chính sách TikTok quy định rằng khách vào tòa nhà, bao gồm người giao hàng, thợ điện và một số chuyên gia phải luôn có nhân viên hộ tống. Tuy nhiên thực tế, điều đó không phải lúc nào cũng xảy ra. “Chúng tôi không có thời gian để kiểm soát tất cả khách ra vào”, một người nói.
Nguồn tin nội bộ cũng cho biết chiếc máy dùng để xóa và hủy ổ cứng cũ tại TikTok thường bị hỏng hoặc kẹt, buộc nhân viên phải mang đến các trung tâm dữ liệu khác để xử lý. Điều đó đồng nghĩa với việc bất kỳ ai ác ý đều có thể lấy cắp thông tin. Các bức ảnh được chụp vào năm 2020 cũng cho thấy nhiều ổ cứng bị bỏ quên ngoài hành lang một trung tâm dữ liệu ở Virginia.
“Trong quá trình xây dựng, trước khi bàn giao, không lấy gì làm lạ nếu thấy những hình ảnh này”, bà Shanahan phân trần.
Theo Sanjukta Das Smith, Chủ tịch Khoa học Quản lý và Hệ thống tại Trường Quản lý Đại học Buffalo, việc đầu tư không thỏa đáng vào việc bảo mật các trung tâm dữ liệu là vấn đề của toàn ngành. “Vấn đề bảo mật có xu hướng bị xem nhẹ bởi trọng tâm luôn là trải nghiệm của khách hàng. Mọi thứ tải trên thiết bị phải nhanh, phải có tính thẩm mỹ”, Sanjukta Das Smith nói.
Bất chấp những thách thức mang tính hệ thống, điều mà nhân viên TikTok mô tả đôi khi khác với các tiêu chuẩn ngành. Ví dụ, tại các trung tâm dữ liệu, khách sau khi làm thủ tục đăng ký cũng không được tự do đi lại trong tòa nhà. Tuy nhiên, điều này không xảy ra tại các trung tâm của TikTok.
Bruce Schneier, một thành viên tại Trung tâm Internet & Công nghệ Berkman Klein Harvard đã lưu ý về các vấn đề về bảo mật xảy ra trong toàn ngành công nghệ. “Tôi chắc chắn có sơ suất. Giống như bất kỳ công ty công nghệ lớn nào, họ chỉ quan tâm đến lợi nhuận trong khi bảo mật quá tốn kém.”
Theo Forbes, còn có tin đồn các nhân viên sử dụng máy chủ để khai thác tiền số. TikTok cho biết điều này là vi phạm chính sách công ty và rằng sẽ “các biện pháp kiểm soát bảo mật để ngăn chặn hành vi này”.
“Niềm tin của công chúng mà chúng ta bỏ nhiều công sức để xây dựng đã bị hủy hoại đáng kể bởi hành vi sai trái từ một số cá nhân”, Liang Rubo, Giám đốc điều hành ByteDance, viết cho nhân viên trong một email nội bộ.
Theo Genk