[NYT]Inside How TikTok Shares User Data
뉴욕타임스가 입수한 회사 문서에 따르면 틱톡 직원들은 불만을 해결하기 위해 라크라는 내부 메시징 및 협업 도구에 이 사건을 공유했습니다. 사진, 거주 국가, 인터넷 프로토콜 주소, 장치 및 사용자 ID를 포함한 영국 여성의 개인 데이터도 플랫폼에 게시되었으며, 이는 Slack 및 Microsoft Teams와 유사합니다.
그녀의 정보는 라크에서 공유된 틱톡 사용자 데이터의 한 부분일 뿐이며, 이 데이터는 중국에 있는 사람들을 포함하여 앱의 중국 소유자인 바이트댄스의 수천 명의 직원들이 매일 사용합니다. 더 타임스가 입수한 문서에 따르면, 미국인 사용자들의 운전면허증도 플랫폼에서 접근할 수 있었고, 일부 사용자들의 잠재적으로 불법적인 콘텐츠인 아동 성학대 자료도 접근할 수 있었습니다. 대부분의 경우 이 정보는 수천 명의 회원이 있는 라크 “그룹”(기본적으로 직원들의 채팅방)에서 이용할 수 있었습니다.
내부 보고서와 4명의 현직 및 전직 직원에 따르면, 특히 중국과 다른 곳의 바이트댄스 직원들이 자료를 쉽게 볼 수 있었기 때문에 라크에 대한 사용자 데이터의 풍부함은 일부 틱톡 직원들을 놀라게 했습니다. 문서와 현직 및 전직 직원에 따르면 적어도 2021년 7월부터 여러 보안 직원이 ByteDance 및 TikTok 임원에게 플랫폼과 관련된 위험에 대해 경고했습니다.
지난 7월 한 틱톡 직원은 내부 보고서에서 “베이징에 기반을 둔 직원들이 사용자의 비밀 데이터를 포함하는 그룹의 소유자여야 합니까?”라고 물었습니다.
라크의 사용자 자료는 틱에 대한 질문을 제기합니다Tok의 데이터 및 개인 정보 보호 관행은 비디오 앱이 잠재적인 보안 위험과 중국과의 관계에 대한 조사에 직면한 것처럼 ByteDance와 얼마나 밀접하게 관련되어 있는지 보여줍니다. 지난 주, 몬태나 주지사는 1월 1일자로 주에서 틱톡을 금지하는 법안에 서명했습니다. 이 앱은 또한 대학, 정부 기관 및 군대에서 금지되었습니다.
틱톡은 미국 사용자에 대한 데이터를 중국 당국에 제공할 수 있다는 우려 때문에 수년간 미국 사업을 금지하라는 압력을 받아왔습니다. 틱톡은 미국에서 계속 운영하기 위해 지난해 바이든 행정부에 미국 사용자 정보를 국내에 저장하고 바이트댄스와 틱톡 직원의 데이터를 미국 밖에서 차단하는 방법을 설명하는 프로젝트 텍사스라는 계획을 제출했습니다.
틱톡은 중국에 기반을 둔 근로자들이 미국 사용자 데이터에 접근하는 것을 경시했습니다. 지난 3월 의회 청문회에서 틱톡의 Shou Choo 최고경영자(CEO)는 이러한 데이터가 주로 중국의 엔지니어들이 “비즈니스 목적”으로 사용하고 있으며 회사는 사용자를 보호하기 위한 “엄격한 데이터 액세스 프로토콜”을 보유하고 있다고 말했습니다. 그는 엔지니어들이 액세스한 사용자 정보의 상당 부분이 이미 공개되었다고 말했습니다.
라크의 내부 보고서와 통신 내용은 츄 씨의 진술과 모순되는 것으로 보입니다. 틱톡의 라크 데이터도 지난해 말 기준으로 중국의 서버에 저장됐다고 전·현직 직원 4명이 밝혔습니다.
더 타임스가 본 문서에는 2019년부터 2022년까지 라크에 대한 보고서, 채팅 메시지, 직원 댓글의 스크린샷 수십 개와 내부 통신 비디오 및 오디오가 포함되었습니다.
틱톡의 대변인인 알렉스 하우렉은 타임즈가 본 문서들을 “날짜가 지난 것”이라고 말했습니다 그는 그들이 “우리가 보호받는 미국 사용자 데이터를 다루는 방법이나 텍사스 프로젝트 하에서 우리가 이룬 진전”을 정확하게 묘사하지 않았다고 말했습니다
그는 틱이Tok은 2022년 6월 이전에 수집한 미국 사용자 데이터를 삭제하는 과정에서 미국 사용자에 대한 정보를 처리하는 방식을 변경하고 TikTok 또는 ByteDance가 소유한 서버가 아닌 타사가 소유한 미국 기반 서버로 데이터를 전송하기 시작했습니다.
그 회사는 라크 데이터가 중국에 저장되어 있는지에 대한 질문에 대답하지 않았습니다. 라크 그룹에서 틱톡 사용자 데이터를 생성하고 공유하는 데 중국계 직원이 관여한 것에 대한 질문에는 답변을 거부했지만, 많은 채팅방이 “내부 우려 사항을 검토한 후 지난해 폐쇄됐다”고 말했습니다
Facebook의 전 최고 정보 보안 책임자인 Stanford University의 Internet Observatory 이사 Alex Stamos는 조직 전체에서 사용자 데이터를 보호하는 것은 소셜 미디어 회사의 보안 팀에게 “가장 어려운 기술 프로젝트”라고 말했습니다. TikTok의 문제는 ByteDance의 소유권으로 인해 더욱 복잡해진다고 그는 덧붙였습니다.
“Lark는 모든 백엔드 프로세스가 ByteDance에 의해 감독된다는 것을 보여줍니다.”라고 그는 말했습니다. “TikTok은 ByteDance에서 얇은 베니어입니다.”
바이트댄스는 2017년에 라크를 소개했습니다. 중국어 전용 Feishu로 알려진 이 툴은 TikTok과 7,000명의 미국 직원을 포함한 모든 ByteDance 자회사에서 사용됩니다. 라크는 채팅 플랫폼, 화상 회의, 작업 관리 및 문서 협업 기능을 갖추고 있습니다. 츄 씨는 3월 청문회에서 라크에 대해 질문을 받았을 때, 그것은 기업들에게 “다른 인스턴트 메시징 도구”와 같다고 말하며 슬랙과 비교했습니다.
더 타임스가 입수한 문서에 따르면 라크는 적어도 2019년부터 개인 식별 가능한 정보가 포함된 문서를 공유하고 개별 틱톡 계정 문제를 처리하는 데 사용되었습니다.
2019년 6월 틱톡 직원은 라크에 매사추세츠 여성의 운전면허증 이미지를 공유했습니다. 이 여성은 자신의 신원을 확인하기 위해 틱톡에게 사진을 보냈습니다. 그녀의 주소, 생년월일, 사진 및 운전면허 번호가 포함된 이미지는 계정 금지 및 금지 해제를 처리하는 1,100명 이상의 사람들과 함께 내부 라크 그룹에 게시되었습니다.
더 타임스가 본 문서에 따르면, 운전면허증뿐만 아니라 호주와 사우디아라비아를 포함한 나라 사람들의 여권과 신분증은 작년에 라크에서 접근할 수 있었습니다.
라크는 또한 사용자들의 아동 성적 학대 자료를 노출했습니다. 2019년 10월 한 대화에서 틱톡 직원들은 상의를 입지 않은 3세 이상 소녀들의 콘텐츠를 공유한 일부 계정을 금지하는 것에 대해 논의했습니다. 근로자들은 또한 라크에 그 이미지들을 올렸습니다.
틱톡 대변인인 하우렉 씨는 직원들이 그런 내용을 절대 공유하지 말고 전문 내부 어린이 안전팀에 보고하라는 지시를 받았다고 말했습니다.
틱톡 직원들은 이러한 사건에 대해 의문을 제기했습니다. 지난 7월 내부 보고서에서 한 직원이 라크에서 사용자 데이터를 처리하는 규칙이 있는지 물었습니다. 티크의 임시 보안 담당자인 윌 파렐은Project Texas의 일부로 미국 사용자 데이터를 감독할 Tok의 U.S. Data Security는 “현재로서는 정책이 없습니다.”라고 말했습니다
틱톡의 수석 보안 엔지니어도 지난 가을 수천 개의 라크 그룹이 사용자 데이터를 잘못 처리할 수 있다고 말했습니다. 더 타임스가 입수한 기록에서 엔지니어는 틱톡이 “중국에서 데이터를 이동하고 싱가포르에서 라크를 실행해야 한다”고 말했습니다 틱톡은 싱가포르와 로스앤젤레스에 본사가 있습니다.
Haurek 씨는 엔지니어의 발언을 “정확하지 않다”고 말하며 TikTok이 Lark 그룹이 잠재적으로 사용자 데이터를 잘못 처리한 사례를 검토하고 이를 해결하기 위한 조치를 취했다고 말했습니다. 그는 회사가 민감한 콘텐츠를 처리하기 위한 새로운 프로세스를 가지고 있으며 라크 그룹의 크기에 새로운 제한을 두었다고 말했습니다.
틱톡의 개인 정보 보호 및 보안 부서는 지난 1년 동안 조직 개편과 이탈을 겪었는데, 일부 직원들은 중요한 시기에 개인 정보 보호 및 보안 프로젝트를 늦추거나 중단했다고 말했습니다.
사이버 보안 전문가이자 미 공군 베테랑인 롤랜드 클라우티어는 지난해 틱 대표직에서 물러났습니다Tok의 글로벌 보안 조직과 그의 부대의 일부는 ByteDance에서 수년간 근무한 중국에 기반을 둔 임원인 Woody로 동료들에게 알려진 Yujun Chen이 이끄는 개인 정보 보호에 중점을 둔 팀에 배치되었다고 세 명의 현직 및 전직 직원이 말했습니다. Chen 씨는 이전에 소프트웨어 품질 보증에 중점을 두었습니다.
Haurek 씨는 Chen 씨가 “깊은 기술, 데이터 및 제품 엔지니어링 전문 지식”을 보유하고 있으며, 그의 팀은 캘리포니아에 본사를 둔 임원에게 보고한다고 말했습니다. 그는 틱톡이 미국 데이터 보안 팀에 1,500명 이상의 직원을 포함하여 개인 정보 보호 및 보안 관련 여러 팀을 보유하고 있으며, 프로젝트 텍사스를 구현하기 위해 15억 달러 이상을 지출했다고 말했습니다.
ByteDance와 TikTok은 Texas 프로젝트가 언제 완료될 것인지에 대해 언급하지 않았습니다. 이 경우 미국 사용자 데이터가 포함된 통신이 별도의 “내부 협업 도구”에서 이루어질 것이라고 틱톡은 말했습니다
아론 크롤리크가 보고에 기여했습니다. Alain Delaquérière는 연구에 기여했습니다.
In August 2021, TikTok received a complaint from a British user, who flagged that a man had been “exposing himself and playing with himself” on a livestream she hosted on the video app. She also described past abuse she had experienced.
To address the complaint, TikTok employees shared the incident on an internal messaging and collaboration tool called Lark, according to company documents obtained by The New York Times. The British woman’s personal data — including her photo, country of residence, internet protocol address, device and user IDs — were also posted on the platform, which is similar to Slack and Microsoft Teams.
Her information was just one piece of TikTok user data shared on Lark, which is used every day by thousands of employees of the app’s Chinese owner, ByteDance, including by those in China. According to the documents obtained by The Times, the driver’s licenses of American users were also accessible on the platform, as were some users’ potentially illegal content, such as child sexual abuse materials. In many cases, the information was available in Lark “groups” — essentially chat rooms of employees — with thousands of members.
The profusion of user data on Lark alarmed some TikTok employees, especially since ByteDance workers in China and elsewhere could easily see the material, according to internal reports and four current and former employees. Since at least July 2021, several security employees have warned ByteDance and TikTok executives about risks tied to the platform, according to the documents and the current and former workers.
“Should Beijing-based employees be owners of groups that contain secret” data of users, one TikTok employee asked in an internal report last July.
The user materials on Lark raise questions about TikTok’s data and privacy practices and show how intertwined it is with ByteDance, just as the video app faces mounting scrutiny over its potential security risks and ties to China. Last week, Montana’s governor signed a bill banning TikTok in the state as of Jan. 1. The app has also been prohibited at universities and government agencies and by the military.
TikTok has been under pressure for years to cordon off its U.S. operations because of concerns that it might provide data on American users to the Chinese authorities. To continue operating in the United States, TikTok last year submitted a plan to the Biden administration, called Project Texas, laying out how it would store American user information inside the country and wall off the data from ByteDance and TikTok employees outside the United States.
TikTok has downplayed the access that its China-based workers have to U.S. user data. In a congressional hearing in March, TikTok’s chief executive, Shou Chew, said that such data was mainly used by engineers in China for “business purposes” and that the company had “rigorous data access protocols” for protecting users. He said that much of the user information that engineers accessed was already public.
The internal reports and communications from Lark appear to contradict Mr. Chew’s statements. Lark data from TikTok was also stored on servers in China as of late last year, the four current and former employees said.
The documents seen by The Times included dozens of screenshots of reports, chat messages and employee comments on Lark, as well as video and audio of internal communications, spanning 2019 to 2022.
Alex Haurek, a TikTok spokesman, called the documents seen by The Times “dated.” He said they did not accurately depict “how we handle protected U.S. user data, nor the progress we’ve made under Project Texas.”
He added that TikTok was in the process of deleting U.S. user data that it collected before June 2022, when it changed the way it handled information about American users and began sending that data to U.S.-based servers owned by a third party rather than those owned by TikTok or ByteDance.
The company didn’t respond to questions about whether Lark data was stored in China. It declined to answer questions about the involvement of China-based employees in creating and sharing TikTok user data in Lark groups, but said many of the chat rooms were “shut down last year after reviewing internal concerns.”
Alex Stamos, the director of Stanford University’s Internet Observatory who was Facebook’s former chief information security officer, said that securing user data across an organization is “the hardest technical project” for a social media company’s security team. TikTok’s problems, he added, are compounded by ByteDance’s ownership.
“Lark shows you that all the back-end processes are overseen by ByteDance,” he said. “TikTok is a thin veneer on ByteDance.”
ByteDance introduced Lark in 2017. The tool, which has a Chinese-only equivalent known as Feishu, is used by all ByteDance subsidiaries, including TikTok and its 7,000 U.S. employees. Lark features a chatting platform, video conferencing, task management and document collaboration features. When Mr. Chew was asked about Lark in the March hearing, he said it was like “any other instant messaging tool” for corporations and compared it to Slack.
Lark has been used for handling individual TikTok account issues and sharing documents that contain personally identifiable information since at least 2019, according to the documents obtained by The Times.
In June 2019, a TikTok employee shared an image on Lark of the driver’s license of a Massachusetts woman. The woman had sent TikTok the picture to verify her identity. The image — which included her address, date of birth, photo and driver’s license number — was posted to an internal Lark group with more than 1,100 people that handled the banning and unbanning of accounts.
The driver’s license, as well as passports and identification cards of people from countries including Australia and Saudi Arabia, were accessible on Lark as of last year, according to the documents seen by The Times.
Lark also exposed users’ child sexual abuse materials. In one October 2019 conversation, TikTok employees discussed banning some accounts that had shared content of girls over three years old who were topless. Workers also posted the images on Lark.
Mr. Haurek, the TikTok spokesman, said employees were instructed to never share such content and to report it to a specialized internal child safety team.
TikTok employees have raised questions about such incidents. In an internal report last July, one worker asked if there were rules for handling user data in Lark. Will Farrell, the interim security officer of TikTok’s U.S. Data Security, which will oversee U.S. user data as part of Project Texas, said, “No policy at time.”
A senior security engineer at TikTok also said last fall that there could be thousands of Lark groups mishandling user data. In a recording, which The Times obtained, the engineer said TikTok needed to move the data “out of China and run Lark out of Singapore.” TikTok is headquartered in Singapore and Los Angeles.
Mr. Haurek called the engineer’s comments “inaccurate” and said TikTok reviewed instances where Lark groups were potentially mishandling user data and took steps to address them. He said the company had a new process for handling sensitive content and had put new limits on the size of Lark groups.
TikTok’s privacy and security division has undergone reorganizations and departures in the past year, which some employees said had slowed down or sidelined privacy and security projects at a critical juncture.
Roland Cloutier, a cybersecurity expert and U.S. Air Force veteran, stepped down last year as the head of TikTok’s global security organization, and a portion of his unit was placed on a privacy-focused team led by Yujun Chen, known to colleagues as Woody, a China-based executive who has worked at ByteDance for years, three current and former employees said. Mr. Chen previously focused on software quality assurance.
Mr. Haurek said Mr. Chen had “deep technical, data and product engineering expertise” and that his team reports to a California-based executive. He said TikTok had multiple teams working on privacy and security, including more than 1,500 workers on its U.S. Data Security team, and that it had spent more than $1.5 billion to implement Project Texas.
ByteDance and TikTok have not said when Project Texas will be complete. When it is, TikTok said, communications involving U.S. user data will take place on a separate “internal collaboration tool.”
Aaron Krolik contributed reporting. Alain Delaquérière contributed research.