CNN
—
As autoridades americanas há muito insistem que o governo chinês pode visualizar as informações pessoais dos usuários do TikTok – mas essa afirmação era puramente especulativa. Até agora.
No que parece ser a primeira vez, um ex-funcionário da ByteDance, empresa-mãe da TikTok com sede em Pequim, delineou alegações específicas de que o Partido Comunista Chinês acessou os dados dos usuários do TikTok em larga escala e para fins políticos.
Em um processo judicial esta semana, o ex-funcionário da ByteDance, Yintao Yu, alegou que o PCCh espionou manifestantes pró-democracia em Hong Kong em 2018 usando acesso “backdoor” ao TikTok para identificar e monitorar as localizações e comunicações dos ativistas.
Vários especialistas em segurança disseram à CNN que esta parece ser a primeira alegação relatada do PCC acessando dados reais do usuário do TikTok. A afirmação explosiva, que a ByteDance contesta, pode inflamar um debate global sobre se o TikTok representa uma ameaça à segurança e se os formuladores de políticas estão certos em proibir o aplicativo de vídeo de formato curto.
A evidência, tal como é, permanece bastante tênue. É uma declaração juramentada de Yu, que está processando a ByteDance em um caso de rescisão injusta no tribunal estadual da Califórnia. A declaração não fornece documentação, mensagens internas ou outros materiais de fonte primária para fundamentar a reivindicação.
Mas Yu, que prometeu sob pena de perjúrio que estava dizendo a verdade, alega que viu os registros de acesso mostrando que os funcionários do PCC – que Yu descreveu como parte de um “comitê” especial com acesso físico dedicado aos escritórios da ByteDance em Pequim – usaram um so- chamado de “credencial de deus” para contornar quaisquer proteções de privacidade que a empresa possa ter aplicado aos dados do TikTok.
“O Comitê e os investigadores externos usaram a credencial de deus para identificar e localizar os manifestantes de Hong Kong, ativistas dos direitos civis e apoiadores dos protestos”, alegou Yu no processo. “A partir dos registros, vi que o Comitê acessou os dados, localizações e comunicações exclusivas dos manifestantes, ativistas dos direitos civis e apoiadores.”
O arquivamento foi relatado pela primeira vez pelo Wall Street Journal.
O TikTok se recusou a comentar a alegação. Em um comunicado, um porta-voz da ByteDance procurou desacreditar as alegações de Yu como uma oportunista captura de publicidade.
“Planejamos nos opor vigorosamente ao que acreditamos serem reivindicações e alegações infundadas nesta reclamação”, disse o comunicado, acrescentando que o emprego de Yu em um aplicativo ByteDance conhecido como Flipagram foi encerrado em 2018, depois de trabalhar para a empresa por menos de um ano. “É curioso que o Sr. Yu nunca tenha levantado essas alegações nos cinco anos desde que seu emprego na Flipagram foi encerrado em julho de 2018. Suas ações têm claramente a intenção de atrair a atenção da mídia.”
Os tipos de dados que o PCC pode ter acessado, sugere Yu, incluem identificadores de dispositivos, informações de rede, como endereços IP e mensagens diretas dos usuários, juntamente com históricos de pesquisa e navegação. O TikTok anunciou sua retirada de Hong Kong em 2020, depois que a China impôs uma lei de segurança nacional lá.
James Lewis, especialista em segurança da informação do Centro de Estudos Estratégicos e Internacionais, e John Scott-Railton, especialista em segurança da informação do Citizen Lab da Universidade de Toronto, concordaram que a alegação de Yu parece ser a primeira a identificar uma circunstância específica em que o PCC realmente acessou os dados do TikTok.
Houve relatos isolados de acesso indevido aos dados do TikTok no passado. Mais notavelmente, a ByteDance reconheceu ter demitido vários funcionários que tentaram acessar informações de contas pertencentes a vários jornalistas. O acesso indevido, disseram funcionários da empresa, foi uma tentativa equivocada de identificar a fonte dos vazamentos para a imprensa.
Essa situação parecia ter sido limitada a vários indivíduos, no entanto, e não parecia envolver agentes trabalhando em nome do PCC. Por outro lado, as autoridades americanas caracterizaram suas suspeitas sobre o TikTok em termos muito mais amplos, descrevendo temores de que o governo chinês use dados do TikTok para informar operações de coleta de inteligência em larga escala ou para promover campanhas de desinformação em nível social.
Quando Rob Joyce, diretor de segurança cibernética da Agência de Segurança Nacional, foi questionado por repórteres em dezembro para articular suas preocupações de segurança sobre o TikTok, ele ofereceu um aviso geral sobre o potencial de danos, em vez de uma alegação específica.
“As pessoas estão sempre procurando a arma fumegante nessas tecnologias”, disse Joyce. “Eu o caracterizo muito mais como uma arma carregada.”
O CEO da TikTok, Shou Chew, anteriormente disse aos legisladores dos EUA que a empresa nunca foi solicitada pelo governo chinês a fornecer dados sobre seus usuários nos Estados Unidos e nunca atenderia a tal solicitação. A TikTok também disse que está implementando um plano para armazenar dados de usuários dos EUA em servidores de terceiros baseados nos EUA, com acesso a esses dados controlados por funcionários dos EUA. A empresa está se movendo para implementar uma solução semelhante para dados europeus.
Mas Chew e outros funcionários do TikTok também hesitaram em responder a perguntas específicas sobre a natureza do relacionamento do TikTok com a ByteDance ou o relacionamento da ByteDance com o governo chinês.
As alegações de Yu sobre os dissidentes de Hong Kong são muito mais próximas do tipo de preocupação levantada pelo governo dos EUA. Eles implicam a interferência direta de autoridades chinesas nas operações comerciais de uma empresa privada, levando, em última análise, a uma ampla vigilância destinada a encerrar a atividade democrática.
As alegações de Yu ainda precisam ser comprovadas. Mas eles fornecem uma rara, se não a primeira, acusação substantiva do que muitos têm hipotetizado como meramente uma possibilidade.