Как в американских дата-центрах TikTok обнаружили огромные дыры в безопасности

В течение многих лет руководство TikTok сообщало законодателям, что частные данные ее американских пользователей надежно защищены от потенциальных угроз или утечки в дата-центрах, расположенных в Северной Вирджинии.

Однако показания семи нынешних и бывших сотрудников компании, а также более 60 документов, фотографий и видеозаписей из дата-центров доказывают обратное. Стало известно, что центры имели множество уязвимостей в системе безопасности, начиная с немаркированных флеш-накопителей, подключенных к серверам, посетителей без сопровождения и заканчивая коробками с жесткими дисками, оставленными без присмотра в коридорах. Предполагается, что эти проблемы являются результатом того, что руководство TikTok пыталось быстро увеличить объем хранилища данных, поэтому зачастую действовало в обход правил.

Обнародованные документы, фотографии и интервью также свидетельствуют о том, что деятельность дата-центров TikTok по-прежнему тесно связана с бизнесом ByteDance в Китае. Среди прочих поставщиков центры используют серверы, произведенные Inspur — компанией, которая, по данным Пентагона, в 2020 году находилась под контролем китайских военных. В прошлом месяце Министерство торговли США внесло Inspur в санкционный список. Документы также показывают, что еще на прошлой неделе техническим специалистам дата-центров пришли заказы на профилактическое обслуживание серверов от Beijing ByteDance Technology Co., Ltd., дочерней компании ByteDance, частично принадлежащей китайскому правительству. При этом руководство TikTok неоднократно заявляло, что власти Китая не имеют к ним никакого отношения.

Новая информация появилась в критический момент для TikTok. ByteDance столкнулась с федеральным уголовным расследованием за слежку за журналистами и с угрозой запрета приложения в США, если компания откажется продать свой видеосервис. Двухпартийная коалиция законодателей вместе с Белым домом выразила обеспокоенность тем, что китайское правительство может использовать контроль ByteDance над TikTok для кражи важных данных об американских гражданах или влияния на внутренний или международный общественный дискурс. 

«С каждой новой порцией информации у нас появляется все больше опасений, что TikTok вводит нас в заблуждение относительно своих методов защиты данных», — поделился сенатор Марк Уорнер, который в последние месяцы возглавил усилия Сената США по запрету TikTok.

Ответом руководства TikTok на эти опасения и угрозу потенциального запрета является Project Texas, согласно которому компания удалит данные американских пользователей с серверов в Вирджинии и изолирует их в ряде дата-центров в Техасе, принадлежащих Oracle. Однако CEO TikTok Шоу Цзы Чу в прошлом месяце заявил перед Палатой представителей США, что данные американских пользователей по-прежнему «хранятся на серверах в Вирджинии».

Отвечая на подробный список вопросов Forbes USA, пресс-секретарь TikTok Морин Шанахан признала факт использования серверов Inspur, отметив, что TikTok «не сотрудничает с этим поставщиком уже долгое время». Inspur также совместно работала с другими крупными американскими компаниями, включая Microsoft, IBM и Intel. Inspur и Министерство торговли США не ответили на просьбу дать комментарий. Министерство обороны США не предоставило комментариев к моменту публикации.

Шанахан заявила, что заказы на профилактическое обслуживание от Beijing ByteDance Technology Co. являлись «артефактами тикет-системы» (ticketing system, или система по обработке запросов), которая «не предоставляет никакого доступа к данным пользователей», и что компания «не имеет никакого отношения к управлению, эксплуатации или контролю наших американских дата-центров». Она также отметила, что TikTok перестал направлять новый трафик американских пользователей в дата-центры в Вирджинии в октябре 2022 года, что означает, что приватные посты, личные сообщения и другие пользовательские данные, созданные до октября 2022-го, все еще хранятся на этих серверах, но новые данные — нет. Руководство TikTok пообещало удалить старые данные с серверов до конца 2023 года.

«За последние несколько лет мы увеличили финансирование специалистов, процессов и технологий для обеспечения безопасности нашего сообщества. Мы также создали группу, занимающуюся эксплуатацией, техническим обслуживанием и слежением за соблюдением нормативных требований в дата-центрах», — заверила Шанахан.

Немаркированные флеш-накопители, незащищенные серверы и посетители без сопровождения

Как и многие технологические гиганты, TikTok арендует помещения в крупных дата-центрах в Северной Вирджинии. Серверы TikTok в этих центрах находятся под управлением ByteDance и контрактных работников из нескольких фирм по управлению дата-центрами. (Две фирмы, работающие в центрах ByteDance, не ответили на просьбу дать комментарий.)

В январе 2023 года подразделение TikTok по безопасности данных в США — новая структура, которая в рамках Project Texas будет обеспечивать безопасность и доступ к данным американских пользователей, — опубликовало в блоге сообщение, утверждающее, что «дата-центр в Вирджинии имеет средства физического и логического контроля безопасности, такие как закрытая территория, межсетевые экраны и технологии обнаружения». Однако семь нынешних и бывших сотрудников компании согласились поговорить с Forbes USA на условиях сохранения анонимности, поскольку опасались наказания со стороны ByteDance или их компании-подрядчика. Они признались, что на этих объектах отсутствует строгий контроль безопасности.

По словам сотрудников, системы физической безопасности различаются в зависимости от здания, но в большинстве случаев используется система пропусков. Политика компании гласит, что посетителей, включая курьеров, поставщиков, электриков и других специалистов, должен постоянно сопровождать сотрудник. Но на практике это правило не всегда соблюдалось. «У нас нет времени следить за всеми», — объяснил один из сотрудников.

Они также рассказали о многочисленных системах учета, используемых компанией для отслеживания ремонта серверов и другого оборудования в центрах, включая пять отдельных внутренних механизмов обработки запросов. Все сотрудники TikTok получали запросы на выполнение задач через корпоративный мессенджер Lark, принадлежащий ByteDance.

Однако три источника сообщили Forbes USA, что им известно о модификациях, внесенных в серверы, которые не были отражены ни в одной системе учета. Они также признались, что видели «незарегистрированные» флеш-накопители, подключенные к серверам. Руководство TikTok заявило, что эти утверждения не соответствуют внутреннему мониторингу безопасности компании.

Другие сотрудники поделились, что размагничивающие устройства компании — приспособления, используемые для очистки и уничтожения старых жестких дисков, — часто ломались или заклинивали, что вынуждало сотрудников отвозить диски в другие дата-центры для утилизации. «Кто угодно мог просто забрать их — мы бы об этом не узнали», — поделился сотрудник, ранее выполнявший эту задачу. (В TikTok признали, что компания в прошлом столкнулась с подобной ситуацией, однако с тех пор проблема была устранена.)

На фотографиях предположительно 2020 года, предоставленных одним источником, изображены жесткие диски в открытых коробках, оставленные без присмотра в коридорах дата-центра в Вирджинии. Детали на фотографиях, включая двери, напольную плитку, потолок, краску на стенах и серверные стойки, совпадают с фотографиями и видео, предоставленными другим источником.

В ответ на упоминание этих проблем Шанахан объяснила: «Во время строительных работ, перед сдачей объектов часто можно увидеть оставленные без присмотра деревянные паллеты или картонные коробки с новыми жесткими дисками, не содержащими данные. Наша политика обращения с носителями информации требует, чтобы использованные носители, ожидающие уничтожения, помещались в закрытые контейнеры».

По словам Санджукты Дас Смит, заведующей кафедрой науки и систем управления в Школе менеджмента при Университете штата Нью-Йорк в Буффало и эксперта по ресурсному обеспечению дата-центров, недостаточное финансирование системы безопасности является проблемой всей индустрии. «Часто безопасность отходит на второй план, потому что в большинстве случаев при взаимодействии с клиентами основное внимание уделяется тому, как произвести хорошее впечатление. Главное — быстрая работа продукта на устройствах и его дизайн», — поделилась она в интервью.

Несмотря на эти системные проблемы, практика, описанная сотрудниками TikTok, иногда расходилась с отраслевыми нормами, обозначенными Смит. Например, в других дата-центрах, которые она посещала, строго соблюдались правила приема посетителей. «Если у посетителя было предварительное разрешение, после регистрации он все равно не мог свободно перемещаться — его всегда сопровождали», — добавила Смит. Однако в дата-центрах TikTok дело обстоит иначе. «Мы не знали, когда нам ждать посетителей. Когда кто-то приходил в центр, их просили показать пропуск и отпускали без сопровождения. После того как посетители заканчивали что-то делать, они просто уходили», — признался один из источников.

Смит была удивлена, что флеш-накопители использовались в дата-центрах TikTok. Это вызывает дополнительные опасения, учитывая, как легко установить на них вредоносное программное обеспечение.

Брюс Шнайер, сотрудник Центра Беркмана Кляйна по изучению интернета и технологий при Гарвардском университете и преподаватель Гарвардского института государственного управления имени Джона Ф. Кеннеди, предостерег, что не нужно искать какие-то обличающие детали в ситуациях, о которых ничего не известно. Проводя аналогию с заявлениями о фальсификации результатов голосования, он объяснил: «Можно посчитать подозрительным все что угодно. Но со стороны это выглядит так, будто вы рассказываете всем, как нашли какие-то ящики для бюллетеней, о которых вы ничего не знаете».

Как и Смит, Шнайер подтвердил, что проблемы безопасности затрагивают всю индустрию. Он упомянул Twitter (заблокирован в России), который, по его словам, испытывал трудности с безопасностью из-за стремлений к более быстрому расширению. «Я уверен, что в этом вопросе мы можем говорить о халатности. Как и любую крупную технологическую компанию, их интересует прибыль, а безопасность стоит дорого», — добавил Шнайер.

Безопасность зданий, опасные факторы пожара и майнинг криптовалют

Репортаж Forbes USA также выявил другие проблемы в дата-центрах в Вирджинии. Источники выразили обеспокоенность по поводу безопасности зданий. Они рассказали, что иногда им приходилось работать в центрах, все еще находившихся на стадии строительства. Также в некоторых зданиях постоянно срабатывала дверная сигнализация, поэтому ей нельзя было доверять. (В TikTok заявили, что дверные сигнализации проверяются по мере необходимости.)

На фотографиях и видеозаписях внутри дата-центров также видны деревянные паллеты и картонные коробки, оставленные курьерами в серверных комнатах — подобная халатность может привести к пожару при перегреве серверов. В аудиозаписях внутренних совещаний TikTok отмечается, что проблема перегрева в этих дата-центрах существовала и раньше: на записи совещания в сентябре 2021 года можно услышать, как директор по вопросам доверия и безопасности описывает случай, когда из-за перегрева серверов в Вирджинии пришлось перенаправить данные американских пользователей на серверы в Сингапуре до устранения проблемы.

Шесть источников также сообщили Forbes USA, что слышали о том, что сотрудники использовали серверы для майнинга криптовалют. Руководство TikTok заявило, что у компании есть «средства контроля безопасности для выявления и предотвращения такого рода поведения», так как подобные ситуации считаются нарушением их политики.

Смит подчеркнула, насколько сложно обеспечить безопасность крупного дата-центра. «Такое приложение, как TikTok, имеет дело с огромным количеством взаимодействий, подавляющее большинство которых безобидны. Попытки определить проблему для них равносильны поиску иголки в стоге сена». Она также отметила, что дата-центры часто не раскрывают все имеющиеся у них средства защиты, поскольку это дало бы хакерам возможность обойти их.

Тем не менее шестеро сотрудников заявили, что уровень безопасности в дата-центрах TikTok был ниже, чем в других дата-центрах, где они работали.

«ByteDance просто наплевать. Главное для них — максимально ускорить процесс», — сказал один из источников, отметив, что компания часто жертвовала стандартами безопасности, чтобы быстрее запустить серверы.

Перевод Ксении Лычагиной