En agosto de 2021, Tik Tok recibió una queja de un usuario británico, quien señaló que un hombre había estado «exponiéndose y jugando consigo mismo» en una transmisión en vivo que ella presentó en la aplicación de video. También describió el abuso que había experimentado en el pasado.
Para abordar la queja, los empleados de TikTok compartieron el incidente en una herramienta interna de mensajería y colaboración llamada Lark, según documentos de la empresa obtenidos por The New York Times. Los datos personales de la mujer británica, incluida su foto, país de residencia, dirección de protocolo de Internet, dispositivo e ID de usuario, también se publicaron en la plataforma, que es similar a Slack y Microsoft Teams.
Su información era solo una parte de los datos de usuario de TikTok compartidos en Lark, que miles de empleados utilizan todos los días del propietario chino de la aplicación, ByteDance, incluidos los de China. Según los documentos obtenidos por The Times, las licencias de conducir de los usuarios estadounidenses también eran accesibles en la plataforma, al igual que el contenido potencialmente ilegal de algunos usuarios, como los materiales de abuso sexual infantil. En muchos casos, la información estaba disponible en los «grupos» de Lark, esencialmente salas de chat de empleados, con miles de miembros.
La profusión de datos de usuarios en Lark alarmó a algunos empleados de TikTok, especialmente porque los trabajadores de ByteDance en China y en otros lugares podían ver fácilmente el material, según informes internos y cuatro empleados actuales y anteriores. Desde al menos julio de 2021, varios empleados de seguridad han advertido a los ejecutivos de ByteDance y TikTok sobre los riesgos relacionados con la plataforma, según los documentos y los empleados actuales y anteriores.
«¿Deberían los empleados con sede en Beijing ser propietarios de grupos que contienen datos secretos» de los usuarios, preguntó un empleado de TikTok en un informe interno en julio pasado.
Los materiales de usuario en Lark plantean preguntas sobre los datos y las prácticas de privacidad de TikTok y muestran cuán entrelazados están con ByteDance, justo cuando la aplicación de video enfrenta un escrutinio creciente sobre sus posibles riesgos de seguridad y vínculos con China. La semana pasada, el gobernador de Montana firmó un proyecto de ley prohibir TikTok en el estado a partir de enero 1. La aplicación también ha sido prohibida universidades y agencias gubernamentales y militares.
TikTok ha estado bajo presión durante años para acordonar sus operaciones en EE. UU. debido a la preocupación de que pueda proporcionar datos sobre usuarios estadounidenses a las autoridades chinas. Para seguir operando en Estados Unidos, TikTok presentó el año pasado un plan a la administración de Biden, llamado Proyecto Texas, que explica cómo almacenaría la información de los usuarios estadounidenses dentro del país y aislaría los datos de los empleados de ByteDance y TikTok fuera de los Estados Unidos.
TikTok ha minimizado el acceso que tienen sus trabajadores en China a los datos de los usuarios estadounidenses. en un audiencia del congreso en marzo El director ejecutivo de TikTok, Shou Chew, dijo que esos datos fueron utilizados principalmente por ingenieros en China con «fines comerciales» y que la empresa tenía «protocolos rigurosos de acceso a datos» para proteger a los usuarios. Dijo que gran parte de la información del usuario disponible para los ingenieros ya era pública.
Los informes internos y las comunicaciones de Lark parecen contradecir las declaraciones del Sr. Las declaraciones de Chew. Los datos de Lark de TikTok también se almacenaron en servidores en China a fines del año pasado, dijeron los cuatro empleados actuales y anteriores.
Los documentos vistos por The Times incluían docenas de capturas de pantalla de informes, mensajes de chat y comentarios de empleados sobre Lark, así como videos y audios de comunicaciones internas, que abarcan desde 2019 hasta 2022.
Alex Haurek, un portavoz de TikTok, calificó los documentos vistos por The Times como «fechados» y cuestionó que contradijeran las declaraciones del Sr. Las declaraciones de Chew. Dijo que no describían con precisión «cómo manejamos los datos protegidos de los usuarios de EE. UU., ni el progreso que hemos logrado bajo el Proyecto Texas».
Agregó que TikTok estaba en proceso de eliminar los datos de usuarios estadounidenses que recopiló antes de junio de 2022, cuando cambió la forma en que manejaba la información sobre los usuarios estadounidenses y comenzó a enviar esos datos a servidores con sede en EE. UU. propiedad de un tercero en lugar de los propios. por TikTok o ByteDance.
La empresa no respondió a las preguntas sobre si los datos de Lark se almacenaron en China. Se negó a responder preguntas sobre la participación de los empleados con sede en China en la creación y el intercambio de datos de usuarios de TikTok en los grupos de Lark, pero dijo que muchas de las salas de chat «se cerraron el año pasado después de revisar las preocupaciones internas».
Alex Stamos, director del Observatorio de Internet de la Universidad de Stanford y ex director de seguridad de la información de Facebook, dijo que proteger los datos de los usuarios en una organización era «el proyecto técnico más difícil» para el equipo de seguridad de una empresa de redes sociales. Los problemas de TikTok, agregó, se ven agravados por la propiedad de ByteDance.
«Lark te muestra que todos los procesos de back-end son supervisados por ByteDance», dijo. «TikTok es una fina capa de ByteDance».
ByteDance presentó Lark en 2017. La herramienta, que tiene un equivalente solo en chino conocido como Feishu, es utilizada por todas las subsidiarias de ByteDance, incluidos TikTok y sus 7000 empleados en EE. UU. Lark cuenta con una plataforma de chat, videoconferencia, gestión de tareas y funciones de colaboración de documentos. cuando el sr. Se le preguntó a Chew sobre Lark en la audiencia de marzo, dijo que era como «cualquier otra herramienta de mensajería instantánea» para corporaciones y la comparó con Slack.
Lark se ha utilizado para manejar problemas de cuentas individuales de TikTok y compartir documentos que contienen información de identificación personal desde al menos 2019, según los documentos obtenidos por The Times.
En junio de 2019, un empleado de TikTok compartió una imagen en Lark de la licencia de conducir de una mujer de Massachusetts. La mujer había enviado a TikTok la imagen para verificar su identidad. La imagen, que incluía su dirección, fecha de nacimiento, foto y número de licencia de conducir, se publicó en un grupo interno de Lark con más de 1100 personas que manejaban la prohibición y la cancelación de cuentas.
La licencia de conducir, así como los pasaportes y las tarjetas de identificación de personas de países como Australia y Arabia Saudita, estaban disponibles en Lark desde el año pasado, según los documentos vistos por The Times.
Lark también expuso los materiales de abuso sexual infantil de los usuarios. En una conversación de octubre de 2019, los empleados de TikTok discutieron la prohibición de algunas cuentas que habían compartido contenido de niñas mayores de 3 años que estaban en topless. Los trabajadores también publicaron las imágenes en Lark.
señor. Haurek, el portavoz de TikTok, dijo que los empleados recibieron instrucciones de nunca compartir dicho contenido y de informarlo a un equipo interno especializado en seguridad infantil.
Los empleados de TikTok han planteado preguntas sobre tales incidentes. En un informe interno de julio pasado, un trabajador preguntó si había reglas para manejar los datos de los usuarios en Lark. Will Farrell, el oficial de seguridad interino de Seguridad de datos de EE. UU. de TikTok, que supervisará los datos de los usuarios de EE. UU. como parte del Proyecto Texas, dijo: «No hay política en este momento».
Un ingeniero de seguridad sénior de TikTok también dijo el otoño pasado que podría haber miles de grupos de Lark que manejan mal los datos de los usuarios. En una grabación, que The Times obtuvo, el ingeniero dijo que TikTok necesitaba sacar los datos «fuera de China y sacar a Lark de Singapur». TikTok tiene sedes en Singapur y Los Ángeles.
señor. Haurek calificó los comentarios del ingeniero como «inexactos» y dijo que TikTok revisó los casos en los que los grupos de Lark estaban potencialmente manejando mal los datos de los usuarios y tomó medidas para abordarlos. Dijo que la compañía tenía un nuevo proceso para manejar contenido confidencial y había puesto nuevos límites en el tamaño de los grupos de Lark.
La división de privacidad y seguridad de TikTok ha sufrido reorganizaciones y salidas en el último año, lo que, según algunos empleados, ha ralentizado o dejado de lado los proyectos de privacidad y seguridad en un momento crítico.
Roland Cloutier, un experto en seguridad cibernética y veterano de la Fuerza Aérea de EE. UU., renunció el año pasado como jefe de la organización de seguridad global de TikTok, y una parte de su unidad se colocó en un equipo centrado en la privacidad dirigido por Yujun Chen, conocido entre sus colegas como Woody, un ejecutivo con sede en China que ha trabajado en ByteDance durante años, dijeron tres empleados actuales y anteriores. señor. Chen se centró anteriormente en el aseguramiento de la calidad del software.
señor. Haurek dijo que el Sr. Chen tenía «profunda experiencia técnica, de datos e ingeniería de productos» y su equipo informaba a un ejecutivo en California. Dijo que TikTok tenía varios equipos trabajando en privacidad y seguridad, incluidos más de 1500 trabajadores en su equipo de seguridad de datos de EE. UU., y que había gastado más de $1500 millones para llevar a cabo el Proyecto Texas.
ByteDance y TikTok no han dicho cuándo se completará el Proyecto Texas. Cuando lo sea, dijo TikTok, las comunicaciones que involucren datos de usuarios de EE. UU. se llevarán a cabo en una «herramienta de colaboración interna» separada.
Aarón Krolik reportaje contribuido. Alain Delaqueriere investigación aportada.