Uma investigação interna da ByteDance, empresa controladora da plataforma de partilha de vídeos TikTok, descobriu que funcionários rastrearam vários jornalistas que cobriam a empresa, obtendo acesso indevido aos seus endereços IP e dados de utilizadores na tentativa de identificar se eles estiveram nos mesmos locais que funcionários da ByteDance.
De acordo com os materiais analisados pela Forbes, a ByteDance rastreou vários jornalistas da Forbes Internacional como parte dessa campanha de vigilância secreta, que foi projetada para descobrir a fonte de fugas de informação dentro da empresa após uma série de histórias expondo os vínculos contínuos da empresa com a China.
Como resultado da investigação sobre as táticas de vigilância, a ByteDance demitiu Chris Lepitak, o seu principal auditor interno que liderou a equipa responsável por essa vigilância. O executivo da China, Song Ye, a quem Lepitak se reportava e que se reporta diretamente ao CEO da ByteDance, Rubo Liang, renunciou.
“Fiquei profundamente desapontado quando fui notificado da situação… e tenho certeza que você sente o mesmo”, escreveu Liang num e-mail interno partilhado com a Forbes. “A confiança do público que investimos enormes esforços para construir será significativamente prejudicada pela má conduta de alguns indivíduos. (…) Acredito que esta situação servirá de lição para todos nós.”
“É prática padrão para as empresas ter um grupo de auditoria interna autorizado a investigar violações do código de conduta”, escreveu o conselheiro geral da TikTok, Erich Andersen, num segundo e-mail interno partilhado com a Forbes. “No entanto, neste caso, os indivíduos abusaram da sua autoridade para obter acesso aos dados dos utilizadores do TikTok.”
A Forbes relatou pela primeira vez as táticas de vigilância, que foram supervisionadas por uma equipa da ByteDance com sede na China, em outubro. Solicitados a comentar a história, ByteDance e TikTok não negaram a vigilância, mas foram ao Twitter depois da história ter sido publicada para dizer que “o TikTok nunca foi usado para ‘atingir’ nenhum membro do governo dos EUA, ativistas, figuras públicas ou jornalistas” e que “o TikTok não conseguiu monitorizar os utilizadores dos EUA da maneira sugerida pelo artigo”. No e-mail interno, Liang reconheceu que o TikTok tinha sido usado exatamente dessa maneira, conforme relatado pela Forbes.
“Este é um ataque direto à ideia de imprensa livre e são eu papel crítico numa democracia funcional”, comenta Randall Lane, diretor de conteúdo da Forbes Internacional.
A investigação, conhecida internamente como Projeto Raven, começou neste verão depois do BuzzFeed News publicar uma história revelando que funcionários chineses da ByteDance acederam repetidamente a dados de utilizadores dos EUA, com base em mais de 80 horas de gravações de áudio de reuniões internas do TikTok. De acordo com documentos internos da ByteDance analisados pela Forbes, o Projeto Raven envolvia o Chief Security and Privacy Office da empresa, era do conhecimento do chefe de conformidade legal global da TikTok e foi aprovado pelos funcionários da ByteDance na China. Ele rastreou Emily Baker-White, Katharine Schwab e Richard Nieva, três jornalistas da Forbes que trabalharam anteriormente no BuzzFeed News.
“Este é um ataque direto à ideia de imprensa livre e ao seu papel crítico numa democracia funcional”, diz Randall Lane, diretor de conteúdo da Forbes. “Aguardamos uma resposta direta da ByteDance, pois isso levanta questões fundamentais sobre o que eles estão a fazer com as informações que compilam dos utilizadores do TikTok.”
Depois desta história ser publicada, o porta-voz do TikTok, Hilary McQuaide, disse: “A má conduta de certos indivíduos, que não são mais empregados na ByteDance, foi um uso indevido flagrante de sua autoridade para obter acesso aos dados de utilizadores. Esse mau comportamento é inaceitável e não está de acordo com nossos esforços no TikTok para ganhar a confiança de nossos utilizadores.”
A porta-voz da ByteDance, Jennifer Banks, acrescentou: “A ByteDance condena esse plano equivocado que violou o Código de Conduta da empresa”. Banks disse que a ByteDance não encontrou evidências de que a empresa vigiou jornalistas da Forbes, além de Baker-White, mas que a investigação está em curso. Os materiais internos da empresa analisados pela Forbes indicam, contudo, que a vigilância também recaiu nos jornalistas Schwab e Nieva.
Banks também observou que a sua chefe de conformidade legal global, Catherine Razzano, não sabia sobre a vigilância de jornalistas até ao final de outubro, embora os materiais analisados pela Forbes mostrem que ela estava ciente da investigação da fuga do Projeto Raven antes dessa altura.
“Este novo desenvolvimento reforça as sérias preocupações de que a plataforma de redes sociais permitiu que engenheiros e executivos do TikTok na República Popular da China acedessem repetidamente a dados privados de utilizadores dos EUA, apesar das repetidas alegações de legisladores e utilizadores de que esses dados estavam protegidos”, disse o senador Mark Warner à Forbes. “O Departamento de Justiça também promete há mais de um ano que está à procura de formas de proteger os dados dos utilizadores dos EUA da Bytedance e do registo criminal – é hora de apresentar essa solução ou o Congresso poderá em breve ser e forçado a intervir”.
De acordo com um e-mail interno enviado por Andersen, a ByteDance descobriu que vários dos seus funcionários obtiveram os dados de “um ex-repórter do BuzzFeed e um repórter do Financial Times”, bem como um “pequeno número de pessoas ligadas aos repórteres”, através das suas contas de TikTok. A auditoria foi realizada pelo escritório de advocacia Covington & Burling, que representou o TikTok em litígios contra o governo dos EUA. Covington não respondeu a um pedido de comentário.
Além da demissão do auditor interno chefe do TikTok, Chris Lepitak, que foi suspenso após o relatório inicial da Forbes sobre o esquema de vigilância em outubro, a ByteDance demitiu dois funcionários adicionais do TikTok nos Estados Unidos e na China como resultado das descobertas. Lepitak não respondeu imediatamente a um pedido de comentário. “Nenhum dos indivíduos que participaram diretamente ou supervisionaram o plano equivocado permanece empregado na ByteDance”, escreveu Andersen no e-mail interno.
“Este novo desenvolvimento reforça as sérias preocupações de que esta plataforma de redes sociais permitiu que engenheiros e executivos do TikTok na China acedessem repetidamente dados privados de utilizadores dos EUA, apesar das repetidas alegações de legisladores e utilizadores de que esses dados estavam protegidos” – Senador Mark Warner
A equipa que supervisionou a campanha de vigilância foi o departamento de Auditoria Interna e Controle de Risco da ByteDance, uma unidade com sede em Pequim responsável principalmente por conduzir investigações sobre possíveis más condutas de funcionários atuais e antigos da ByteDance.
O executivo-chefe da TikTok, Shou Zi Chew, escreveu um e-mail aos funcionários: “Levamos a segurança dos dados muito a sério”, acrescentando que o Projeto Texas da empresa, que limitaria o acesso da China aos dados de utilizadores dos EUA (e que foi relatado pela primeira vez por Baker-White no BuzzFeed News) foi um “testemunho desse compromisso”.
Em 2021, o TikTok tornou-se o site mais visitado do mundo, mas a propriedade da App pela gigante tecnológica chinesa ByteDance levantou sérias preocupações sobre o acesso da empresa às informações pessoais de milhões de cidadãos dos EUA, bem como a sua capacidade de manipular e influenciar o conteúdo dos utilizadores. A empresa está atualmente a negociar um contrato de segurança nacional com o Comité de Investimento Estrangeiro dos EUA (CFIUS) do Departamento do Tesouro, que regerá a maneira como esta App de redes sociais de propriedade chinesa lida com os dados pessoais dos utilizadores americanos. A empresa também procurou amenizar as preocupações sobre os laços com a China, trabalhando para mover algumas informações de utilizadores dos EUA para os Estados Unidos para serem armazenadas num data center gerenciado pela Oracle como parte do Projeto Texas.
“Neste caso, os indivíduos abusaram da sua autoridade para obter acesso aos dados de utilizadores do TikTok” – Erich Andersen, Conselheiro Geral da TikTok
A Forbes informou em outubro que a mesma equipa de auditoria interna e investigações da ByteDance com sede na China que supervisionou a campanha de vigilância contra jornalistas também investigou o chefe de segurança global do TikTok, Roland Cloutier, um veterano da Força Aérea dos EUA, encarregado de supervisionar os esforços para limitar o acesso dos funcionários chineses aos dados do utilizador americano. Cloutier deixou o cargo em julho de 2022. Pelo menos cinco funcionários seniores que lideravam departamentos da TikTok recentemente deixaram a empresa devido a revelações de que não poderiam influenciar significativamente a tomada de decisões, segundo o que a Forbes também descobriu.
TikTok e ByteDance recusaram-se a comentar sobre investigações específicas de funcionários ou sobre as saídas.
Em agosto, a Forbes também encontrou perfis no LinkedIn de 300 funcionários da ByteDance que mostravam que já trabalharam para publicações de redes sociais estatais chinesas. Vinte e três dos perfis pareciam ter sido criados por diretores da ByteDance. Na época, a porta-voz da ByteDance, Jennifer Banks, disse que a empresa toma “decisões de contratação baseadas puramente na capacidade profissional de um indivíduo para fazer o trabalho. Para os nossos negócios no mercado da China, isso inclui pessoas que já trabalharam em cargos governamentais ou de redes sociais estatais na China. Fora da China, os funcionários também trazem experiência no governo, políticas públicas e organizações de redes sociais de dezenas de mercados.”
A ByteDance não é a primeira gigante da tecnologia a usar uma App para monitorar utilizadores específicos. Em 2017, o New York Times informou que a Uber havia identificado vários políticos e reguladores locais norte-americanos, aos quais forneceu uma versão separada e enganosa da sua App para evitar penalidades regulatórias. Na época, a Uber reconheceu que tinha executado o programa, chamado de “greyball” (“bola cinzenta”), mas disse que era usado para negar pedidos de boleia a “oponentes que conspiram com autoridades em ‘ciladas’ secretas destinadas a apanhar motoristas”, entre outros grupos.
Tanto a Uber, quanto a Facebook também rastrearam a localização de jornalistas que reportavam nas suas plataformas. Uma investigação de 2015 do Electronic Privacy Information Center descobriu que a Uber tinha monitorizado a localização de jornalistas que cobriam a empresa. A Uber não respondeu especificamente a esta queixa. O livro “An Ugly Truth”, de 2021, alega que a Facebook fez a mesma coisa, num esforço para identificar as fontes dos jornalistas. A Facebook não respondeu diretamente às afirmações do livro, mas um porta-voz disse ao San Jose Mercury News em 2018 que, como outras empresas, a Facebook “usa rotineiramente registos comerciais em investigações no local de trabalho”.
Mas um fator importante distingue a recolha de informações de utilizadores privados da ByteDance desses casos: o TikTok disse aos legisladores em junho que o acesso a certos dados de utilizadores dos EUA – provavelmente incluindo a sua localização – será “limitado apenas ao pessoal autorizado, de acordo com os protocolos que estão a ser desenvolvidos com o governo dos EUA”.
Brendan Carr, um comissário da FCC (Federal Communications Commission) que pediu à Apple e à Google que banissem o TikTok após a reportagem do BuzzFeed News de junho, disse: “No exato momento em que o TikTok está a tentar convencer as autoridades dos EUA de que pode ser confiável – quando tem todos os incentivos para garantir a segurança dos dados do utilizador – a sua empresa controladora com sede em Pequim abusou dos seus sistemas para obter dados sobre repórteres que estão cobrindo o TikTok? Este deve ser o último prego no caixão para a ideia de que as autoridades dos EUA podem confiar no TikTok.”
