Nonostante le continue affermazioni di TikTok sulla certezza di archiviazione dei dati UK, UE e USA al di fuori del territorio asiatico, un dataleak di audio interni alla società rivela come in Cina ci sia il bottone magico per “accedere a tutto”
TikTok, social media incentrato su raccomandazioni di brevi video, sta vivendo un periodo di gioie e dolori con i suoi rapporti negli Stati Uniti. Ho infatti analizzato appena nel precedente post, come l’FBI tragga beneficio dall’accesso ai file degli utenti utilizzatori della popolare app, grazie alla collaborazione della società nel fornire i dati e a conservarli nel tempo. Oggi la preoccupazione è totalmente contraria: file audio di riunioni interne allo staff di TikTok, fanno emergere come la Cina abbia accessi (talvolta esclusivi) ai dati degli utenti statunitensi, con consultazioni regolari.
Le registrazioni audio di TikTok trapelate
BuzzFeedNews ha diffuso un rapporto secondo il quale, grazie al supporto di oltre 80 registrazioni audio di riunioni interne acquisite da settembre 2021 a gennaio 2022 corredati da screenshot e altro materiale, la nota app di social video, abbia accessi privilegiati ai dati di tutto il mondo, direttamente dalla Cina.
Tra questi audio trapelati, infatti sono presenti 14 dichiarazioni di nove diversi dipendenti TikTok che indicano che gli ingegneri in Cina hanno avuto accesso ai dati degli Stati Uniti.
Le riunioni in questione sono basate sul Progetto Texas che, di fatto sarebbe lo sforzo riservato di ByteDance (la società dietro TikTok), per impedire agli ingegneri cinesi di recuperare dati dall’occidente.
Lo staff di ByteDance sarebbe in grado di accedere a dati non pubblici sugli utenti come i loro compleanni e numeri di telefono, come una sorta di “Master Admin” che può tutto.
“Si vede tutto in Cina”, ha affermato un membro del dipartimento Trust and Safety di TikTok in una riunione di settembre 2021. Un dipendente a Pechino è stato descritto come un “amministratore principale” che ha “accesso a tutto”. Un altro ha detto: “Sento che con questi strumenti ci sono alcune backdoor per accedere ai dati degli utenti in quasi tutti, il che è estenuante”.
Quattro delle registrazioni contengono conversazioni in cui i dipendenti responsabili di determinati strumenti interni non sono stati in grado di capire quali parti di tali strumenti facevano. La complessità è la maggiore indiziata in questa confusione sul flusso dei dati. Difficoltà nel capire il funzionamento intrinseco dei sistemi interni dell’azienda e il modo in cui consentono il flusso dei dati tra gli Stati Uniti e la Cina sottolinea le sfide che il team dei servizi tecnici degli Stati Uniti deve affrontare, con il Progetto Texas.
Non è solo un problema di locazione dei server
TikTok ha fatto il proprio annuncio, poco dopo la pubblicazione del rapporto, in cui si afferma: “Il 100% del traffico degli utenti statunitensi viene instradato verso Oracle Cloud Infrastructure”, anziché essere archiviato nei propri data center negli Stati Uniti e a Singapore”.
A proposito del Progetto Texas afferma che “la creazione di questa organizzazione fa parte del nostro continuo sforzo e impegno per rafforzare le nostre politiche e protocolli di protezione dei dati, proteggere ulteriormente i nostri utenti e creare fiducia nei nostri sistemi e controlli”.
Addirittura nel 2020 il CISO di TikTok, Roland Cloutier, scriveva in un post sul blog: “Il nostro obiettivo è ridurre al minimo l’accesso ai dati tra le regioni in modo che, ad esempio, i dipendenti nella regione APAC, inclusa la Cina, abbiano un accesso minimo ai dati degli utenti da l’UE e gli Stati Uniti”.
La posizione fisica non importa se è ancora possibile accedere ai dati dalla Cina. Lo dice Adam Segal, direttore del Digital and Cyberspace Policy Program presso il Council on Foreign Relations, che continua affermando che “la preoccupazione sarebbe che i dati finirebbero comunque nelle mani dell’intelligence cinese se le persone in Cina stessero ancora accedendo”.