реклама
Новости Hardware

В дата-центрах TikTok выявили огромные дыры в безопасности, а сотрудников уличили в майнинге

На протяжении многих лет компания ByteDance, владеющая платформой TikTok, сообщала законодателям США, что частные данные её американских пользователей надежно защищены — они хранятся в центрах обработки данных, расположенных в Северной Вирджинии. Расследование Forbes показало, что в дата-центрах TikTok есть огромные проблемы с безопасностью.

 Источник изображений: Pixabay

Источник изображений: Pixabay

Интервью, взятые у семи нынешних и бывших сотрудников и более 60 «слитых» документов, фотографий и видеозаписей из центров обработки данных показывают уязвимости в системе безопасности, начиная от немаркированных флэш-накопителей, подключенных к серверам, посетителей без сопровождения и заканчивая коробками с жесткими дисками, оставленными без присмотра в коридорах. Источники предполагают, что эти проблемы являются результатом того, что TikTok пытался быстро увеличить объем хранилища данных и позволял допущения в безопасности на этом пути.

Документы, фотографии и интервью также свидетельствуют о том, что деятельность дата-центров TikTok по-прежнему тесно связана с бизнесом ByteDance в Китае. Среди прочих поставщиков центры обработки данных используют серверы от Inspur — компании, которая, по словам Пентагона, в 2020 году контролировалась китайскими военными, и которую в прошлом месяце Министерство торговли США внесло в санкционный список. Документы также показывают, что еще на прошлой неделе заказы на серверные работы отправлялись техникам дата-центров компанией Beijing ByteDance Technology, дочерней компанией ByteDance, частично принадлежащей китайскому правительству, которое, как неоднократно утверждала TikTok, не контролирует её деятельность.

Эти разоблачения произошли в критический момент для TikTok, который столкнулся с федеральным уголовным расследованием после обвинений в слежке за журналистами. Власти США могут потребовать либо продать TikTok, или полностью его запретить в США. Двухпартийная коалиция законодателей вместе с Белым домом выразила обеспокоенность тем, что китайское правительство может использовать контроль ByteDance над TikTok для сбора ценных данных об американских гражданах или влияния на мысли и настроения пользователей.

«Каждая новая (такая) история вызывает все большую озабоченность и приводит дополнительные примеры того, что TikTok, похоже, искажает свои методы обеспечения безопасности данных», — сказал сенатор Марк Уорнер (Mark Warner), который в последние месяцы возглавил усилия Сената по запрету TikTok.

Ответом TikTok на эти опасения — и угрозу потенциального запрета — является предложение, известное как «Проект Техас» (Project Texas), согласно которому TikTok удалит данные американских пользователей с серверов в Вирджинии и изолирует их в ряде техасских центров обработки данных, принадлежащих Oracle. Однако генеральный директор TikTok Шу Зи Чу (Shou Zi Chew) в прошлом месяце дал показания перед комитетом Палаты представителей, что данные американских пользователей и сегодня «сидят на наших серверах в Вирджинии».

Отвечая на подробный список вопросов Forbes, представитель TikTok Морин Шанахан (Maureen Shanahan) признала использование серверов Inspur, но сказала, что TikTok «не закупает продукцию у этого поставщика уже довольно давно». Inspur также работала с другими крупными американскими компаниями, включая Microsoft, IBM и Intel. Inspur не ответила на просьбу о комментариях, как и Министерство торговли и Министерство обороны США.

Шанахан заявила, что заказы на работы от Beijing ByteDance Technology были «артефактами тикет-системы», которая «не предоставляет никакого доступа к данным пользователей», и что Beijing ByteDance Technology «не имеет никакого отношения к управлению, эксплуатации или контролю наших американских центров обработки данных». Она также отметила, что TikTok перестал направлять новый трафик американских пользователей в дата-центры в Вирджинии в октябре 2022 года, что означает, что личные сообщения и другие данные американских пользователей, созданные до октября 2022 года, все ещё хранятся на этих серверах, но более поздние — нет. TikTok заявляет, что планирует удалить эти данные с серверов до конца 2023 года.

В январе 2023 года подразделение безопасности данных TikTok в США — новая организация, которая в рамках проекта «Техас» будет обеспечивать безопасность и доступ к данным американских пользователей, — опубликовала в блоге сообщение, в котором говорилось следующее: «Наш центр обработки данных в Вирджинии включает в себя средства физического и логического контроля безопасности, такие как закрытый вход, брандмауэры и технологии обнаружения вторжений». Однако семь нынешних и бывших сотрудников, которые анонимно беседовали с Forbes, заявили, что безопасность на объектах соблюдается небрежно.

По словам сотрудников, системы физической безопасности варьируются в зависимости от здания, но в большинстве случаев используется система пропусков. Политика компании гласит, что гостей, включая курьеров, поставщиков оборудования, электриков и других специалистов, должен постоянно сопровождать сотрудник. Но на практике, по словам четырех сотрудников, так происходит не всегда: «У нас нет времени следить за всеми».

Сотрудники рассказали о многочисленных системах учета, используемых компанией для отслеживания ремонта серверов и другого оборудования в центрах, включая пять отдельных внутренних инструментов регистрации заявок. Однако три источника сообщили Forbes, что им известно об изменениях, внесенных в серверы, которые не были отражены ни в одной системе учёта, а четверо сказали, что видели немаркированные флэш-накопители, подключенные к серверам. TikTok заявила, что эти утверждения не соответствуют действительности, согласно внутреннему мониторингу безопасности компании.

Четыре источника также сообщили, что размагничивающие устройства — машины, используемые для стирания и уничтожения старых жестких дисков — часто ломались, что вынуждало сотрудников отвозить диски в другие центры обработки данных для утилизации. Человек, который был за это ответственен, поделился своим беспокойством: «Любой человек со злым умыслом мог просто взять их, и мы бы об этом не узнали». Компания TikTok признала, что в прошлом у нее была такая проблема, но утверждает, что она была решена.

На фотографиях 2020 года, предоставленных одним источником, изображены жесткие диски, оставленные без присмотра в открытых коробках в коридорах центра обработки данных в штате Вирджиния. В ответ на описание этих дисков Шанахан заявила: «Во время монтажных работ (установке серверных стоек), до передачи в эксплуатацию, нередко можно увидеть такие предметы, как оставленные без присмотра деревянные поддоны или картонные коробки с новыми жесткими дисками, не содержащими данных. Наша политика обращения с носителями информации требует, чтобы использованные носители, ожидающие уничтожения, помещались в запертые контейнеры».

По словам Санджукты Дас Смит (Sanjukta Das Smith), заведующей кафедрой Науки управления в Школе менеджмента Университета Буффало и эксперта по ресурсному обеспечению ЦОД, недостаточные инвестиции в безопасность центров обработки данных являются общеотраслевой проблемой. В интервью она сказала: «Во многих случаях безопасность отходит на второй план, потому что в большинстве случаев при взаимодействии с клиентами основное внимание уделяется впечатлениям клиента: как быстро загружается информация на его устройствах».

Несмотря на эти системные проблемы, действительность, описанная сотрудниками TikTok, иногда расходилась с отраслевыми нормами, описанными Дас Смит. Например, в дата-центрах, которые она посетила, по словам Смит, «даже если у вас есть разрешение, это не значит, что Вы можете свободно бродить вокруг. Должно быть сопровождение». Но в центрах TikTok дело обстоит иначе: «Мы никогда не знали, когда появятся эти люди, они просто приходили и просили дать им доступ, заходили, делали то, что делали, и уходили». Дас Смит подчеркивает, что она никогда не видела, чтобы USB-накопители использовались в центрах обработки данных, учитывая, как легко переносить на них вредоносное программное обеспечение.

Брюс Шнайер (Bruce Schneier), сотрудник гарвардского Центра Беркмана Кляйна по Интернету и технологиям и преподаватель Гарвардской школы Кеннеди, предостерег от скорых суждений из-за единичных случаев. Как и Смит, Шнайер отметил, что проблемы безопасности носят общеиндустриальный характер. Он упомянул Twitter, который, по его словам, испытывает трудности с безопасностью из-за того, что стремится быстро развиваться. Что касается TikTok, он сказал: «Я уверен, что там есть халатность. Как и любая крупная технологическая компания, они заботятся о прибыли, а безопасность стоит дорого».

Расследование Forbes также выявило другие проблемы с дата-центрами TikTok в Вирджинии. Источники выразили обеспокоенность по поводу безопасности зданий — трое рассказали, что их иногда просили работать в зданиях, которые все еще находятся на стадии строительства, и сообщили, что в некоторых зданиях сигнализация срабатывает так часто, что не имеет смысла. В TikTok заявили, что сигнализация проверяется по мере необходимости.

На фотографиях и видео изнутри дата-центров также видны деревянные поддоны и картонные коробки, оставленные курьерами в серверных комнатах, а это пожарная опасность в случае перегрева серверов. Аудиозаписи внутренних совещаний TikTok отмечают, что тепло в этих дата-центрах было проблемой и раньше: на совещании в сентябре 2021 года можно услышать, как директор по безопасности описывает случай, когда серверы в Вирджинии перегрелись, и данные американских пользователей были перенаправлены на серверы в Сингапуре до устранения проблемы.

Шесть источников также независимо друг от друга сообщили Forbes, что слышали о том, что сотрудники использовали серверы для майнинга криптовалюты. Компания TikTok заявила, что это было бы нарушением ее политики и что у нее «имеются средства контроля безопасности для выявления и предотвращения такого рода деятельности». Дас Смит отметила, что центры обработки данных часто не раскрывают все имеющиеся у них средства защиты, поскольку это дало бы хакерам «дорожную карту» для их преодоления. Тем не менее, эти сотрудников заявили, что безопасность в дата-центрах TikTok была слабее, чем в других дата-центрах, где они работали.

«ByteDance просто наплевать», — сказал один из источников, отметив, что компания часто жертвовала стандартами безопасности, чтобы быстрее запустить серверы. «Они просто двигались вперед так быстро, как только могли», — отметил источник.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Новая статья: Верные спутники: 20+ полезных Telegram-ботов для путешественников 4 ч.
Итоги Golden Joystick Awards 2024 — Final Fantasy VII Rebirth и Helldivers 2 забрали больше всех наград, а Black Myth: Wukong стала игрой года 6 ч.
В программу сохранения классических игр от GOG вошли S.T.A.L.K.E.R. Shadow of Chernobyl и Call of Pripyat, а Clear Sky — на подходе 7 ч.
Star Wars Outlaws вышла в Steam с крупным обновлением и дополнением про Лэндо Калриссиана 8 ч.
Рекордная скидка и PvP-режим Versus обернулись для Warhammer: Vermintide 2 полумиллионом новых игроков за неделю 10 ч.
Новый трейлер раскрыл дату выхода Mandragora — метроидвании с элементами Dark Souls и нелинейной историей от соавтора Vampire: The Masquerade — Bloodlines 11 ч.
В Японии порекомендовали добавить в завещания свои логины и пароли 12 ч.
Обновления Windows 11 больше не будут перезагружать ПК, но обычных пользователей это не касается 12 ч.
VK похвасталась успехами «VK Видео» на фоне замедления YouTube 14 ч.
GTA наоборот: полицейская песочница The Precinct с «дозой нуара 80-х» не выйдет в 2024 году 16 ч.
Nvidia предупредила о возможном дефиците игровых решений в четвёртом квартале 41 мин.
Представлен внешний SSD SanDisk Extreme на 8 Тбайт за $800 и скоростной SanDisk Extreme PRO с USB4 6 ч.
Представлен безбуферный SSD WD_Black SN7100 со скоростью до 7250 Мбайт/с и внешний SSD WD_Black C50 для Xbox 6 ч.
Новая статья: Обзор ноутбука ASUS Zenbook S 16 (UM5606W): Ryzen AI в естественной среде 6 ч.
Redmi показала флагманский смартфон K80 Pro и объявила дату его премьеры 8 ч.
Астрономы впервые сфотографировали умирающую звезду за пределами нашей галактики — она выглядит не так, как ожидалось 11 ч.
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи 11 ч.
Японская Hokkaido Electric Power намерена перезапустить ядерный реактор для удовлетворения потребности ЦОД в энергии 11 ч.
Грузовик «Прогресс МС-29» улетел к МКС с новогодними подарками и мандаринами для космонавтов 12 ч.
Meta планирует построить за $5 млрд кампус ЦОД в Луизиане 12 ч.