TikTokPor Roland Cloutier, diretor de Segurança Informação do TikTok
Construir defesas de segurança tecnológica é um esforço constante para prever, planejar e reagir. O que está claro desde que comecei este trabalho, há quase três meses, é que a equipe do TikTok está totalmente comprometida em proteger a privacidade dos usuários e dar transparência aos esforços gerais de segurança. Como escrevi há algumas semanas, eu e minha equipe de especialistas em segurança estamos realizando uma ampla revisão de nossos processos de segurança e infraestrutura. Com isso em mente, eu gostaria de atualizar a comunidade sobre alguns acontecimentos recentes.
Primeiro, eu gostaria de começar com o contexto. No início deste ano, um relatório observou que muitos aplicativos importantes, incluindo o TikTok e outros aplicativos de entretenimento, bem como de notícias, estavam solicitando acesso às áreas de transferência dos usuários. Existem muitos motivos legítimos para que algo assim ocorra. Por exemplo, se você copiar o texto de um site para um aplicativo e depois abrir um navegador, a maioria dos navegadores perguntará se você deseja colar o texto e acessar o URL diretamente. Isso é um exemplo de como os navegadores tentam melhorar a experiência do usuário, mas exige que o aplicativo saiba que um URL está na área de transferência. Existem dezenas de outros motivos para que os aplicativos queiram ver se há informações na área de transferência do usuário.
No caso do TikTok, essa notificação foi acionada pela integração do SDK do Google Ads. Embora esse tipo de dados não fosse enviado ao TikTok, reconhecemos que esse problema confundiu muitos usuários e pode tê-los levado a acreditar que o próprio TikTok estava usando os dados para fins que não estavam claros. Além disso, a natureza onipresente de programas de anúncios de terceiros ajuda a explicar por que tantos outros aplicativos indicaram um comportamento semelhante. Em resposta, atualizamos nosso aplicativo no dia 16 de abril para que o programa de anúncios não pudesse acessar a área de transferência dos usuários.
Na semana passada, após o lançamento do Beta iOS 14, os usuários do TikTok viam uma notificação semelhante do iOS quando tentavam digitar comentários em um vídeo. Os usuários também recebiam notificações em vários outros aplicativos populares. Embora eu não saiba ao certo o motivo que levou os usuários a verem as notificações de outros aplicativos, posso explicar por que isso aconteceu no TikTok, como isso ocorreu logo após um problema semelhante e o que estamos fazendo para impedir que se repita, dada a percepção de que esse tipo de ação pode comprometer a segurança do usuário.
Estamos constantemente criando novos recursos para melhorar a experiência no TikTok. Nesse caso, estávamos trabalhando para resolver o problema de spam e incidentes em que os usuários às vezes publicam os mesmos comentários em centenas de vídeos. Nossa tecnologia nos permitia identificar os usuários que estavam copiando comentários e colando-os repetidamente na seção de comentários de diferentes vídeos. Interpretamos isso como um sinal de que usuário tinha um propósito, como se promover para ganhar seguidores ou "trollar" outros usuários.
Lançamos um recurso anti-spam para que pudéssemos detectar esse tipo de spam rapidamente e melhorar a experiência da nossa comunidade. Esse recurso foi adicionado à versão para iOS do aplicativo, lançada em 22 de maio.
Do ponto de vista técnico, essa tecnologia de defesa anti bot executava uma validação de correspondência de string com base na área de transferência. Sua única função era validar se o texto correspondente, inserido no aplicativo, era proveniente da área de transferência. Não havia coleta de dados da área de transferência, simplesmente uma validação contra a inserção de dados no aplicativo, como uma validação de hash.
Em termos gerais, o programa anti-spam nunca envia dados do usuário para fora do dispositivo do usuário. No entanto, entendemos que a notificação teve a consequência indesejada de dar a impressão de que estávamos fazendo outras coisas com esse recurso. Na semana passada, enviamos uma atualização para a App Store removendo esse recurso, que foi resolvido na versão 16.6.1 do aplicativo TikTok, disponibilizada na Apple App Store em 27 de junho. Como sempre, encorajamos todos os nossos usuários a atualizar seus aplicativos para a versão mais recente.
O recurso anti-spam nunca foi adicionado à versão do aplicativo para Android, e agora estamos tratando o problema de spam em ambas as versões com outra tecnologia, que não envolve a área de transferência.
O recurso anti-spam que estava operacional de 22 de maio a 27 de junho é semelhante a outros tipos de recursos de dezenas, senão centenas, de aplicativos diferentes que acionavam as notificações do iOS 14. Ao mesmo tempo, reconhecemos que teria sido melhor evitar adicionar um recurso que levantaria questões sobre o acesso do TikTok à área de transferência em qualquer cenário, principalmente logo depois de termos trabalhado para eliminar esse tipo de acesso para um recurso diferente.
Também entendemos que, embora muitos aplicativos acionem esse tipo de notificação, frequentemente por motivos inócuos, os usuários têm dúvidas legítimas sobre o que as empresas estão fazendo com os dados. Aceitamos isso totalmente e nos esforçamos para sermos líderes no setor, não apenas trabalhando todos os dias para proteger a segurança e a privacidade de nossos usuários, mas também sendo transparentes e diretos quanto às nossas práticas.
Com isso em mente, estou liderando uma iniciativa imediata para conduzir avaliações, correções, verificações e testes de pré-implantação de segurança completos e contínuos do aplicativo, bem como para efetuar esforços de prevenção de validação. Essa é a prioridade máxima da equipe e contamos com todo o suporte de nossa equipe de gerência executiva para realizar nossa análise e agir. Teremos uma equipe de engenheiros totalmente dedicada a esse projeto.
Além disso, estamos revisando nossos processos de lançamento de recursos para ajudar a limitar a possibilidade de que esses problemas surjam no futuro, quando lançarmos novos recursos.
Como parte desse esforço conjunto, realizamos uma revisão completa de todos os problemas da área de transferência para considerar outros cenários possíveis onde isso poderia ocorrer. Em particular, examinamos os cenários em que poderia haver qualquer tipo de ação de acesso à área de transferência não iniciada diretamente pelo usuário. Por exemplo, colar informações no TikTok seria uma ação iniciada pelo usuário e traria valor para o usuário. Nos próximos dias, trabalharemos com nossos parceiros para concluir essa revisão e confirmar que não existe qualquer outro cenário desse tipo. Em breve, relataremos nossas descobertas.
Estamos comprometidos em construir um aplicativo que respeita a privacidade de nossos usuários e em ser mais transparentes com a nossa comunidade. Continuaremos a atualizar você sobre como estamos aprimorando o TikTok e, no final deste ano, abriremos nosso Centro de Transparência para que os especialistas conheçam os bastidores de como mantemos a segurança das pessoas e protegemos sua privacidade. A segurança é um trabalho que nunca termina, mas posso dizer que continuaremos a construir ativamente uma experiência que respeita e protege nossa comunidade.
