Rò rỉ nhiều đoạn ghi âm cho thấy đội ngũ TikTok từ Trung Quốc vẫn âm thầm truy cập dữ liệu người dùng tại Mỹ

05/11/2024 05:06

Dưới thời ông Donald Trump, TikTok thiếu chút nữa bị cấm hoạt động ở Mỹ vì quan ngại liên quan đến bảo mật dữ liệu người dùng.

Suốt nhiều năm, TikTok phản ứng lại với những quan ngại về bảo mật dữ liệu bằng cách cam kết rằng thông tin thu thập được từ người dùng Mỹ được lưu trữ tại Mỹ, thay vì tại Trung Quốc nơi ByteDance, công ty mẹ của TikTok, đặt trụ sở chính.

Dù vậy, theo một đoạn ghi âm rò rỉ từ hơn 80 cuộc họp nội bộ của TikTok, các nhân viên ByteDance đang làm việc tại Trung Quốc đã nhiều lần truy cập dữ liệu của người dùng TikTok tại Mỹ, hành vi đã khiến cựu Tổng thống Mỹ Donald Trump muốn cấm TikTok hoạt động tại Mỹ lúc ông đương nhiệm.

BuzzFeed News cho biết các đoạn ghi âm mà trang này có được chứa 14 khẳng định từ 9 nhân sự khác nhau của TikTok cho thấy các kỹ sư ở Trung Quốc đã truy cập dữ liệu tại Mỹ ít nhất trong giao đoạn từ tháng 9/2021 đến tháng 1/2022.

Mặc dù lãnh đạo cấp cao của TikTok đã khẳng định trước một buổi điều trần vào năm 2021 rằng một “đội ngũ bảo mật tầm cỡ thế giới tại Mỹ” sẽ là người quyết định ai có quyền truy cập dữ liệu này, các khẳng định từ đoạnh ghi âm từ 8 nhân viên khác nhau mô tả tình huống khi các nhân sự Mỹ phải hỏi ý kiến các nhân sự tại Trung Quốc để xác định dữ liệu của người dùng Mỹ đang được lưu thông như thế nào. Các nhân sự tại Mỹ không có quyền hoặc không được biết các truy cập dữ liệu.

bd1-20220619154019119.jpeg?width=700

 Trụ sở ByteDance ở Trung Quốc. (Ảnh: AFP).

“Mọi thứ đều được xem tại Trung Quốc”, một thành viên phòng Niềm tin và An toàn (Trust and Safety) của TikTok chia sẻ trong một cuộc họp vào tháng 9/2021. Trong một cuộc họp khác vào tháng 9, một giám đốc nhắc đến một kỹ sư làm việc tại Trung Quốc trong vai trò một “quản trị viên chủ” (Master Admin) với “quyền truy cập mọi thứ).

Nội dung các đoạn ghi âm mà BuzzFeed News có được cho thấy dữ liệu bị truy cập thường xuyên hơn những gì được truyền thông nhắc đến trước đây. Điều này cũng một lần nữa cho thấy sự phức tạp trong nỗ lực tách bạch hoạt động của TikTok Mỹ với công ty mẹ tại Trung Quốc. Nghiệm trọng hơn, các thông tin mới xuất hiện cho thấy có thể TikTok đã “qua mặt” các nhà điều hành, người dùng và công chúng nói chung khi dữ liệu người dùng Mỹ vẫn có thể bị truy cập ở Trung Quốc.

Khi được hỏi về những quan ngại về bảo mật dữ liệu, Maureen Shanahan, người phát ngôn của TikTok, cho biết: “Chúng tôi biết chúng tôi nằm trong số các nền tảng bị để ý nhiều nhất từ quan điểm bảo mật, và chúng tôi lên kế hoạch loạt bỏ bất kỳ sự ngờ vực nào về tính bảo mật của dữ liệu người dùng Mỹ. Đó là lý do vì sao chúng tôi thuê các chuyên gia trong lĩnh vực này, liên tục xác nhận các tiêu chuẩn bảo mật đồng thời thuê các đơn vị uy tín, độc lập bên thứ 3 để thử nghiệm chúng”.

“Mọi thứ đều được xem ở Trung Quốc”.

Năm 2019, Uỷ ban Đầu tư Nước ngoài Mỹ (CFIUS) bắt đầu điều tra việc TikTok thu thập dữ liệu người dùng Mỹ. Và vào năm 2020, Tổng thống Mỹ lúc đó là ông Donald Trump đe doạ cấm TikTok hoạt động tại Mỹ dưới lo ngại về dữ liệu người dùng Mỹ có thể bị truy cập dễ dàng tại Trung Quốc. Dù vậy, TikTok liên tục khẳng định dịch vụ này không bao giờ chia sẻ dữ liệu người dùng với chính phủ Trung Quốc và sẽ không làm vậy ngay cả khi được yêu cầu.

Phần lớn các nội dung được thảo luận trong các cuộc họp được họp được ghi âm lại nhắm giải quyết quan ngại trên. Trong một dự án có tên Project Texas, TikTok cố gắng điều hướng để một số dữ liệu “được bảo vệ” sẽ không thể di chuyển ra bên ngoài nước Mỹ và đến Trung Quốc.

Project Texas thực tế đang là mấu chốt trong cuộc đàm phán hiện tại của TikTok với nhà cung cấp dịch vụ đám mây Oracle và CFIUS. Dưới thoả thuận của CFIUS, TikTok sẽ đảm bảo các dữ liệu cá nhân được bảo vệ của người dùng Mỹ, ví dụ như số điện thoại hay ngày sinh nhật, phải được lưu trữ tại một trung tâm dữ liệu do Oracle quản lý ở Texas.

Dữ liệu này chỉ có thể được truy cập bởi một số nhân sự của TikTok tại Mỹ. Dù vậy, dữ liệu này được xem là “dữ liệu được bảo vệ” vẫn đang nằm trên bàn đàm phán. Thông tin từ đoạn ghi âm cho thấy tất cả các dữ liệu công khai của người dùng, bao gồm các thông tin về hồ sơ cá nhân và những gì họ đăng tải, sẽ không nằm trong số này.

Một thời gian ngắn trước khi BuzzFeed News đăng tải bài viết này, TikTok chia sẻ trên trang blog chính thức của mình rằng nó đã thay đổi “địa điểm lưu trữ dữ liệu người Mỹ mặc định”, theo đó, “100% dữ liệu người dùng Mỹ sẽ được chuyển hướng tới Oracle Cloud Infrastructure.

Chúng tôi vẫn sử dụng các trung tâm dữ liệu ở Mỹ và Singapore cho việc sao lưu, nhưng khi chúng tôi tiếp tục công việc này, chúng tôi kỳ vọng sẽ xoá bỏ dữ liệu người dùng Mỹ từ các trung tâm dữ liệu của chúng tôi trước khi chuyển hoàn toàn sang các hạ tầng điện toán đám mây của Oracle ở Mỹ”.

bd2-20220619154019429.jpeg?width=700

 Trụ sở TikTok tại Culver, California, Mỹ. (Ảnh: GC Images).

Các nhà lập pháp Mỹ lo ngại rằng chính phủ Trung Quốc có thể tiếp cận được dữ liệu ở Mỹ, nhất là trong bối cảnh Trung Quốc đang thắt chặt quản lý các công ty công nghệ ở quốc gia này.

TikTok nói rằng TikTok lưu trữ vật lý dữ liệu người dùng Mỹ ở Mỹ cùng một bản sao lưu tại Singapore. Thực tế này làm giảm bớt một số rủi ro nhưng không giải quyết được thực tế rằng các nhân sự Trung Quốc vẫn có thể truy xuất được dữ liệu.

Project Texas, khi hoàn thành, sẽ giải quyết được vấn đề này đối với một số lượng dữ liệu nhất định. Song nhiều nội dung từ các đoạn ghi âm rò rỉ cho thấy các thách thức mà nhân viên TikTok phải đối mặt trong việc tìm và đóng các kênh hiện đang cho phép dữ liệu chảy từ Mỹ về Trung Quốc.

“Lưu trữ vật lý không có ý nghĩa gì nếu dữ liệu vẫn có thể truy cập được từ Trung Quốc”.

14 đoạn ghi âm rò rỉ bao gồm các cuộc trò chuyện với một nhóm các nhà tư vấn đến từ Booz Allen Hamilton. Một nhà tư vấn nói với nhân viên TikTok rằng họ đến vào tháng 2/2021 để hỗ trợ việc quản lý chuyển đổi dữ liệu trong Project Texas. Một giám đốc TikTok nói với các nhân viên của mình rằng các tư vấn viên sẽ báo cáo trực tiếp tới giám đốc dữ liệu Mỹ. Trong các bản ghi âm, các tư vấn viên điều tra cách dữ liệu di chuyển bên trogn TikTok và các công cụ nội bộ của ByteDance.

Vào tháng 9/2021, một tư vấn viên nói với đồng nghiệp rằng: “Tôi cảm thấy trong các công cụ có “cửa hậu” cho phép truy vấn dữ liệu, điều này thực sự mệt mỏi”.

Bên cạnh đó, trong 4 đoạn ghi âm có nội cho cho thấy ngay cả các nhân sự chịu trách nhiệm cho các công cụ nội bộ cũng không giải thích được một số thành phần của nó có tác dụng gì.  Đây cũng là thách thức đối với đội ngũ Dịch vụ Kỹ thuật Mỹ (USTS) của TikTok. Đây là một đội ngũ kỹ sư mới được thành lập trong dự án Project Texas.

“Người Trung Quốc không được phép tham gia”.

Để thể hiện rõ sự độc lập của đội ngũ USTS với ByteDance, một thành viên nói với đồng nghiệp của mình vào tháng 1 rằng “không phải ai cũng có thể tham gia” đỗi ngũ này. “Người Trung Quốc không được phép tham gia”, anh chia sẻ.

Dù vậy, nhóm USTS vẫn báo cáo trực tiếp tới các lãnh đạo ở ByteDance ở Trung Quốc. Trong một đoạn ghi âm cuộc họp vào tháng 1/2022, một nhà khoa học dữ liệu nói với đồng nghiệp rằng: “Tôi nhận được hướng dẫn từ trụ sở chính ở Bắc Kinh”.

Mục tiêu của TikTok với dự án Project Texas là bất kỳ dữ liệu nào được lưu trữ trên máy chủ của Oracle sẽ được bảo mật và không thể truy cập từ Trung Quốc hay bất kỳ đầu trên thế giới. Dù vậy, thông tin từ các đoạn ghi âm từ tháng 9/2021 đến tháng 1/2022 cho thấy những dữ liệu nói trên chỉ bao gồm các dữ liệu không được công khai trên ứng dụng.

Trong một cuộc họp vào tháng 1/2022, giám đốc sản phẩm và vận hành người dùng nói rằng mã ID của người dùng (UID) sẽ không được xem là một dữ luêuj được bảo vệ. Nhìn chung, hiện tại, TikTok vẫn đang đàm phán dữ liệu nào là dữ liệu cần được bảo vệ. Cho tới thời điểm đó, nhiều dữ liệu vẫn sẽ được lưu trữ ở trung tâm dữ liệu của ByteDance ở Virginia. BuzzFeed nói nhân viên Mỹ của ByteDance vẫn có thể truy cập được trung tâm dữ liệu này ngay cả khi dự án Project Texas hoàn thành.

Chi tiết các thoả thuận giữa CFIUS, TikTok và Oracle vẫn đang trong quá trình thảo luận cho tới thời điểm tháng 1/2022, thời điểm cuối cùng các đoạn ghi âm rò rỉ ghi nhận được. Dù vậy, ngay cả khi dự án Project Texas hoàn thành, một nhân sự chính sách của TikTk vẫn hoài nghi về việc liệu nó có thể ngăn các nhân sự ByteDance ở Trung Quốc tiếp cận dữ liệu hay không.

“Vẫn có khả năng các nhân sự kỹ thuật cvà sản phẩm sẽ tìm được cách tiếp cận dữ liệu vì sau cùng đây chính là công cụ của họ. Tất cả đều được phát triển ở Trung Quốc”, người này nói.

(Theo: http://vietnambiz.vn/ro-ri-nhieu-doan-ghi-am-cho-thay-bytedance-van-lien-tuc-truy-cap-nguoi-dung-tiktok-my-202261915413886.htm)