Ağustos 2021’de TikTok, bir İngiliz kullanıcıdan, video uygulamasında barındırdığı bir canlı yayında bir adamın “kendini ifşa ettiğini ve kendisiyle oynadığını” belirten bir şikayet aldı. Ayrıca geçmişte yaşadığı istismarı da anlattı.
The New York Times’ın edindiği şirket belgelerine göre TikTok çalışanları, şikayeti ele almak için Lark adlı dahili bir mesajlaşma ve işbirliği aracında olayı paylaştı. İngiliz kadının fotoğrafı, ikamet ettiği ülke, internet protokol adresi, cihaz ve kullanıcı kimlikleri dahil olmak üzere kişisel verileri de Slack ve Microsoft Teams’e benzeyen platformda yayınlandı.
Onun bilgisi, Çin’dekiler de dahil olmak üzere uygulamanın Çinli sahibi ByteDance’in binlerce çalışanı tarafından her gün kullanılan Lark’ta paylaşılan TikTok kullanıcı verilerinin yalnızca bir parçasıydı. The Times’ın elde ettiği belgelere göre, Amerikalı kullanıcıların sürücü ehliyetlerine ve bazı kullanıcıların çocuklara yönelik cinsel istismar materyalleri gibi potansiyel olarak yasa dışı içeriklerine de platformdan erişilebiliyordu. Çoğu durumda bilgiler, binlerce üyeli Lark “gruplarında” – esasen çalışanların sohbet odalarında – mevcuttu.
Dahili raporlara ve dört mevcut ve eski çalışana göre, Lark hakkındaki kullanıcı verilerinin bolluğu, özellikle Çin’deki ve başka yerlerdeki ByteDance çalışanları materyali kolayca görebildiğinden, bazı TikTok çalışanlarını alarma geçirdi. Belgelere ve mevcut ve eski çalışanlara göre, en az Temmuz 2021’den bu yana, birkaç güvenlik çalışanı ByteDance ve TikTok yöneticilerini platforma bağlı riskler konusunda uyardı.
Geçen Temmuz ayında bir TikTok çalışanı, “Pekin merkezli çalışanlar, kullanıcıların gizli verilerini içeren grupların sahibi olmalı mı?” diye sormuştu.
Lark hakkındaki kullanıcı materyalleri, TikTok’un verileri ve gizlilik uygulamaları hakkında sorular soruyor ve tıpkı video uygulamasının potansiyel güvenlik riskleri ve Çin ile bağları konusunda artan bir incelemeyle karşı karşıya olduğu gibi, ByteDance ile ne kadar iç içe olduğunu gösteriyor. Geçen hafta Montana valisi, TikTok’u eyalette 1 Ocak itibarıyla yasaklayan bir yasa tasarısını imzaladı. Uygulama ayrıca üniversitelerde, devlet kurumlarında ve ordu tarafından yasaklandı.
TikTok, Çinli yetkililere Amerikalı kullanıcılar hakkında veri sağlayabileceği endişesiyle yıllardır ABD operasyonlarını kordon altına alması için baskı altında. TikTok, Amerika Birleşik Devletleri’nde faaliyet göstermeye devam etmek için geçen yıl Biden yönetimine Project Texas adlı bir plan sunarak Amerikan kullanıcı bilgilerini ülke içinde nasıl depolayacağını ve ABD dışındaki ByteDance ve TikTok çalışanlarından gelen verileri nasıl kapatacağını ortaya koydu.
TikTok, Çin merkezli çalışanlarının ABD kullanıcı verilerine erişimini hafife aldı. Mart ayındaki bir kongre oturumunda TikTok’un CEO’su Shou Chew, bu tür verilerin Çin’deki mühendisler tarafından çoğunlukla “iş amaçlı” kullanıldığını ve şirketin kullanıcıları korumak için “sıkı veri erişim protokollerine” sahip olduğunu söyledi. Mühendislerin eriştiği kullanıcı bilgilerinin çoğunun zaten herkese açık olduğunu söyledi.
Lark’tan gelen iç raporlar ve iletişimler, Bay Chew’in ifadeleriyle çelişiyor gibi görünüyor. Dört mevcut ve eski çalışan, TikTok’tan gelen şaka verilerinin de geçen yılın sonlarında Çin’deki sunucularda saklandığını söyledi.
The Times’ın gördüğü belgelerde, Lark hakkındaki raporların, sohbet mesajlarının ve çalışan yorumlarının düzinelerce ekran görüntüsü ile 2019’dan 2022’ye kadar uzanan iç iletişimlerin video ve sesleri yer alıyor.
TikTok sözcüsü Alex Haurek, The Times’ın gördüğü belgeleri “tarihli” olarak nitelendirdi. “Korunan ABD kullanıcı verilerini nasıl ele aldığımızı veya Texas Projesi kapsamında kaydettiğimiz ilerlemeyi” doğru bir şekilde tasvir etmediklerini söyledi.
TikTok’un, Haziran 2022’den önce topladığı ABD kullanıcı verilerini silme sürecinde olduğunu, Amerikalı kullanıcılar hakkındaki bilgileri işleme biçimini değiştirdiğini ve bu verileri sahip olunanlar yerine üçüncü bir tarafın sahip olduğu ABD merkezli sunuculara göndermeye başladığını da sözlerine ekledi. TikTok veya ByteDance tarafından.
Şirket, Lark verilerinin Çin’de depolanıp depolanmadığına ilişkin sorulara yanıt vermedi. Çin merkezli çalışanların Lark gruplarında TikTok kullanıcı verilerinin oluşturulmasına ve paylaşılmasına katılımıyla ilgili soruları yanıtlamayı reddetti, ancak sohbet odalarının çoğunun “iç kaygıları inceledikten sonra geçen yıl kapatıldığını” söyledi.
Stanford Üniversitesi İnternet Gözlemevi’nin direktörü ve Facebook’un eski bilgi güvenliği sorumlusu Alex Stamos, bir kuruluş genelinde kullanıcı verilerinin güvenliğini sağlamanın bir sosyal medya şirketinin güvenlik ekibi için “en zor teknik proje” olduğunu söyledi. TikTok’un sorunlarının ByteDance’ın sahipliğiyle arttığını da sözlerine ekledi.
“Lark size tüm arka uç süreçlerinin ByteDance tarafından denetlendiğini gösteriyor” dedi. “TikTok, ByteDance üzerinde ince bir kaplamadır.”
ByteDance, Lark’ı 2017’de piyasaya sürdü. Feishu olarak bilinen yalnızca Çince muadili olan araç, TikTok ve 7.000 ABD’li çalışanı da dahil olmak üzere tüm ByteDance yan kuruluşları tarafından kullanılıyor. Lark, bir sohbet platformu, video konferans, görev yönetimi ve belge işbirliği özelliklerine sahiptir. Mart ayındaki duruşmada Bay Chew’e Lark sorulduğunda, bunun şirketler için “başka herhangi bir anlık mesajlaşma aracı” gibi olduğunu söyledi ve onu Slack ile karşılaştırdı.
The Times tarafından elde edilen belgelere göre Lark, en az 2019’dan beri bireysel TikTok hesap sorunlarını ele almak ve kişisel olarak tanımlanabilir bilgiler içeren belgeleri paylaşmak için kullanılıyor.
Haziran 2019’da bir TikTok çalışanı, Lark’ta Massachusetts’li bir kadının ehliyetine ait bir görsel paylaştı. Kadın, TikTok’a kimliğini doğrulamak için resmi göndermişti. Adresini, doğum tarihini, fotoğrafını ve ehliyet numarasını içeren resim, hesapların yasaklanması ve kaldırılmasıyla ilgilenen 1.100’den fazla kişinin bulunduğu dahili bir Lark grubuna gönderildi.
The Times’ın gördüğü belgelere göre, Avustralya ve Suudi Arabistan’ın da aralarında bulunduğu ülkelerden gelen kişilerin ehliyetlerinin yanı sıra pasaport ve kimlik kartlarına geçen yıl itibariyle Lark üzerinden erişilebiliyordu.
Lark ayrıca kullanıcıların çocuklara yönelik cinsel istismar materyallerini de ifşa etti. Ekim 2019’da yapılan bir sohbette TikTok çalışanları, üç yaşından büyük üstsüz kızların içeriklerini paylaşan bazı hesapların yasaklanmasını tartıştı. İşçiler ayrıca görüntüleri Lark’ta yayınladı.
TikTok sözcüsü Bay Haurek, çalışanlara bu tür içerikleri asla paylaşmamaları ve bunu özel bir dahili çocuk güvenliği ekibine bildirmeleri talimatının verildiğini söyledi.
TikTok çalışanları bu tür olaylar hakkında sorular yöneltti. Geçen Temmuz ayında bir dahili raporda, bir çalışan Lark’ta kullanıcı verilerini işlemek için kurallar olup olmadığını sordu. Project Texas’ın bir parçası olarak ABD kullanıcı verilerini denetleyecek olan TikTok’un ABD Veri Güvenliği’nin geçici güvenlik görevlisi Will Farrell, “Şu anda politika yok” dedi.
TikTok’ta kıdemli bir güvenlik mühendisi de geçen sonbaharda, kullanıcı verilerini yanlış işleyen binlerce Lark grubu olabileceğini söyledi. The Times’ın edindiği bir kayıtta mühendis, TikTok’un verileri “Çin dışına ve Lark’ı Singapur’dan sürmesi” gerektiğini söyledi. TikTok’un genel merkezi Singapur ve Los Angeles’tadır.
Bay Haurek, mühendisin yorumlarını “yanlış” olarak nitelendirdi ve TikTok’un Lark gruplarının potansiyel olarak kullanıcı verilerini yanlış kullandığı durumları incelediğini ve bunları ele almak için adımlar attığını söyledi. Şirketin hassas içeriği işlemek için yeni bir süreci olduğunu ve Lark gruplarının boyutuna yeni sınırlar koyduğunu söyledi.
TikTok’un gizlilik ve güvenlik bölümü, geçen yıl bazı çalışanların kritik bir noktada gizlilik ve güvenlik projelerini yavaşlattığını veya rafa kaldırdığını söylediği yeniden yapılanma ve ayrılmalara uğradı.
Bir siber güvenlik uzmanı ve ABD Hava Kuvvetleri gazisi olan Roland Cloutier, TikTok’un küresel güvenlik organizasyonunun başkanı olarak geçen yıl istifa etti ve biriminin bir kısmı, meslektaşları tarafından Woody olarak bilinen Yujun Chen liderliğindeki gizlilik odaklı bir ekibe yerleştirildi. ByteDance’ta yıllardır çalışan Çin merkezli bir yönetici, üç mevcut ve eski çalışanın söyledi. Bay Chen daha önce yazılım kalite güvencesine odaklanmıştı.
Bay Haurek, Bay Chen’in “derin teknik, veri ve ürün mühendisliği uzmanlığına” sahip olduğunu ve ekibinin Kaliforniya merkezli bir yöneticiye rapor verdiğini söyledi. TikTok’un ABD Veri Güvenliği ekibindeki 1.500’den fazla çalışan da dahil olmak üzere gizlilik ve güvenlik üzerinde çalışan birden fazla ekibi olduğunu ve Project Texas’ı uygulamak için 1,5 milyar dolardan fazla harcadığını söyledi.
ByteDance ve TikTok, Project Texas’ın ne zaman tamamlanacağını söylemedi. TikTok, ABD kullanıcı verilerini içeren iletişimlerin ayrı bir “dahili işbirliği aracında” gerçekleşeceğini söyledi.
Aaron Krolik raporlamaya katkıda bulundu. Alain Delaquérière araştırmaya katkıda bulundu.