Сегодня 29 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → дата-центр

В дата-центрах TikTok выявили огромные дыры в безопасности, а сотрудников уличили в майнинге

На протяжении многих лет компания ByteDance, владеющая платформой TikTok, сообщала законодателям США, что частные данные её американских пользователей надежно защищены — они хранятся в центрах обработки данных, расположенных в Северной Вирджинии. Расследование Forbes показало, что в дата-центрах TikTok есть огромные проблемы с безопасностью.

 Источник изображений: Pixabay

Источник изображений: Pixabay

Интервью, взятые у семи нынешних и бывших сотрудников и более 60 «слитых» документов, фотографий и видеозаписей из центров обработки данных показывают уязвимости в системе безопасности, начиная от немаркированных флэш-накопителей, подключенных к серверам, посетителей без сопровождения и заканчивая коробками с жесткими дисками, оставленными без присмотра в коридорах. Источники предполагают, что эти проблемы являются результатом того, что TikTok пытался быстро увеличить объем хранилища данных и позволял допущения в безопасности на этом пути.

Документы, фотографии и интервью также свидетельствуют о том, что деятельность дата-центров TikTok по-прежнему тесно связана с бизнесом ByteDance в Китае. Среди прочих поставщиков центры обработки данных используют серверы от Inspur — компании, которая, по словам Пентагона, в 2020 году контролировалась китайскими военными, и которую в прошлом месяце Министерство торговли США внесло в санкционный список. Документы также показывают, что еще на прошлой неделе заказы на серверные работы отправлялись техникам дата-центров компанией Beijing ByteDance Technology, дочерней компанией ByteDance, частично принадлежащей китайскому правительству, которое, как неоднократно утверждала TikTok, не контролирует её деятельность.

Эти разоблачения произошли в критический момент для TikTok, который столкнулся с федеральным уголовным расследованием после обвинений в слежке за журналистами. Власти США могут потребовать либо продать TikTok, или полностью его запретить в США. Двухпартийная коалиция законодателей вместе с Белым домом выразила обеспокоенность тем, что китайское правительство может использовать контроль ByteDance над TikTok для сбора ценных данных об американских гражданах или влияния на мысли и настроения пользователей.

«Каждая новая (такая) история вызывает все большую озабоченность и приводит дополнительные примеры того, что TikTok, похоже, искажает свои методы обеспечения безопасности данных», — сказал сенатор Марк Уорнер (Mark Warner), который в последние месяцы возглавил усилия Сената по запрету TikTok.

Ответом TikTok на эти опасения — и угрозу потенциального запрета — является предложение, известное как «Проект Техас» (Project Texas), согласно которому TikTok удалит данные американских пользователей с серверов в Вирджинии и изолирует их в ряде техасских центров обработки данных, принадлежащих Oracle. Однако генеральный директор TikTok Шу Зи Чу (Shou Zi Chew) в прошлом месяце дал показания перед комитетом Палаты представителей, что данные американских пользователей и сегодня «сидят на наших серверах в Вирджинии».

Отвечая на подробный список вопросов Forbes, представитель TikTok Морин Шанахан (Maureen Shanahan) признала использование серверов Inspur, но сказала, что TikTok «не закупает продукцию у этого поставщика уже довольно давно». Inspur также работала с другими крупными американскими компаниями, включая Microsoft, IBM и Intel. Inspur не ответила на просьбу о комментариях, как и Министерство торговли и Министерство обороны США.

Шанахан заявила, что заказы на работы от Beijing ByteDance Technology были «артефактами тикет-системы», которая «не предоставляет никакого доступа к данным пользователей», и что Beijing ByteDance Technology «не имеет никакого отношения к управлению, эксплуатации или контролю наших американских центров обработки данных». Она также отметила, что TikTok перестал направлять новый трафик американских пользователей в дата-центры в Вирджинии в октябре 2022 года, что означает, что личные сообщения и другие данные американских пользователей, созданные до октября 2022 года, все ещё хранятся на этих серверах, но более поздние — нет. TikTok заявляет, что планирует удалить эти данные с серверов до конца 2023 года.

В январе 2023 года подразделение безопасности данных TikTok в США — новая организация, которая в рамках проекта «Техас» будет обеспечивать безопасность и доступ к данным американских пользователей, — опубликовала в блоге сообщение, в котором говорилось следующее: «Наш центр обработки данных в Вирджинии включает в себя средства физического и логического контроля безопасности, такие как закрытый вход, брандмауэры и технологии обнаружения вторжений». Однако семь нынешних и бывших сотрудников, которые анонимно беседовали с Forbes, заявили, что безопасность на объектах соблюдается небрежно.

По словам сотрудников, системы физической безопасности варьируются в зависимости от здания, но в большинстве случаев используется система пропусков. Политика компании гласит, что гостей, включая курьеров, поставщиков оборудования, электриков и других специалистов, должен постоянно сопровождать сотрудник. Но на практике, по словам четырех сотрудников, так происходит не всегда: «У нас нет времени следить за всеми».

Сотрудники рассказали о многочисленных системах учета, используемых компанией для отслеживания ремонта серверов и другого оборудования в центрах, включая пять отдельных внутренних инструментов регистрации заявок. Однако три источника сообщили Forbes, что им известно об изменениях, внесенных в серверы, которые не были отражены ни в одной системе учёта, а четверо сказали, что видели немаркированные флэш-накопители, подключенные к серверам. TikTok заявила, что эти утверждения не соответствуют действительности, согласно внутреннему мониторингу безопасности компании.

Четыре источника также сообщили, что размагничивающие устройства — машины, используемые для стирания и уничтожения старых жестких дисков — часто ломались, что вынуждало сотрудников отвозить диски в другие центры обработки данных для утилизации. Человек, который был за это ответственен, поделился своим беспокойством: «Любой человек со злым умыслом мог просто взять их, и мы бы об этом не узнали». Компания TikTok признала, что в прошлом у нее была такая проблема, но утверждает, что она была решена.

На фотографиях 2020 года, предоставленных одним источником, изображены жесткие диски, оставленные без присмотра в открытых коробках в коридорах центра обработки данных в штате Вирджиния. В ответ на описание этих дисков Шанахан заявила: «Во время монтажных работ (установке серверных стоек), до передачи в эксплуатацию, нередко можно увидеть такие предметы, как оставленные без присмотра деревянные поддоны или картонные коробки с новыми жесткими дисками, не содержащими данных. Наша политика обращения с носителями информации требует, чтобы использованные носители, ожидающие уничтожения, помещались в запертые контейнеры».

По словам Санджукты Дас Смит (Sanjukta Das Smith), заведующей кафедрой Науки управления в Школе менеджмента Университета Буффало и эксперта по ресурсному обеспечению ЦОД, недостаточные инвестиции в безопасность центров обработки данных являются общеотраслевой проблемой. В интервью она сказала: «Во многих случаях безопасность отходит на второй план, потому что в большинстве случаев при взаимодействии с клиентами основное внимание уделяется впечатлениям клиента: как быстро загружается информация на его устройствах».

Несмотря на эти системные проблемы, действительность, описанная сотрудниками TikTok, иногда расходилась с отраслевыми нормами, описанными Дас Смит. Например, в дата-центрах, которые она посетила, по словам Смит, «даже если у вас есть разрешение, это не значит, что Вы можете свободно бродить вокруг. Должно быть сопровождение». Но в центрах TikTok дело обстоит иначе: «Мы никогда не знали, когда появятся эти люди, они просто приходили и просили дать им доступ, заходили, делали то, что делали, и уходили». Дас Смит подчеркивает, что она никогда не видела, чтобы USB-накопители использовались в центрах обработки данных, учитывая, как легко переносить на них вредоносное программное обеспечение.

Брюс Шнайер (Bruce Schneier), сотрудник гарвардского Центра Беркмана Кляйна по Интернету и технологиям и преподаватель Гарвардской школы Кеннеди, предостерег от скорых суждений из-за единичных случаев. Как и Смит, Шнайер отметил, что проблемы безопасности носят общеиндустриальный характер. Он упомянул Twitter, который, по его словам, испытывает трудности с безопасностью из-за того, что стремится быстро развиваться. Что касается TikTok, он сказал: «Я уверен, что там есть халатность. Как и любая крупная технологическая компания, они заботятся о прибыли, а безопасность стоит дорого».

Расследование Forbes также выявило другие проблемы с дата-центрами TikTok в Вирджинии. Источники выразили обеспокоенность по поводу безопасности зданий — трое рассказали, что их иногда просили работать в зданиях, которые все еще находятся на стадии строительства, и сообщили, что в некоторых зданиях сигнализация срабатывает так часто, что не имеет смысла. В TikTok заявили, что сигнализация проверяется по мере необходимости.

На фотографиях и видео изнутри дата-центров также видны деревянные поддоны и картонные коробки, оставленные курьерами в серверных комнатах, а это пожарная опасность в случае перегрева серверов. Аудиозаписи внутренних совещаний TikTok отмечают, что тепло в этих дата-центрах было проблемой и раньше: на совещании в сентябре 2021 года можно услышать, как директор по безопасности описывает случай, когда серверы в Вирджинии перегрелись, и данные американских пользователей были перенаправлены на серверы в Сингапуре до устранения проблемы.

Шесть источников также независимо друг от друга сообщили Forbes, что слышали о том, что сотрудники использовали серверы для майнинга криптовалюты. Компания TikTok заявила, что это было бы нарушением ее политики и что у нее «имеются средства контроля безопасности для выявления и предотвращения такого рода деятельности». Дас Смит отметила, что центры обработки данных часто не раскрывают все имеющиеся у них средства защиты, поскольку это дало бы хакерам «дорожную карту» для их преодоления. Тем не менее, эти сотрудников заявили, что безопасность в дата-центрах TikTok была слабее, чем в других дата-центрах, где они работали.

«ByteDance просто наплевать», — сказал один из источников, отметив, что компания часто жертвовала стандартами безопасности, чтобы быстрее запустить серверы. «Они просто двигались вперед так быстро, как только могли», — отметил источник.

Европа начала использовать тепло дата-центров для отопления домов и офисов

Многочисленные дата-центры станут важным подспорьем для Европы, страдающей от энергетического кризиса. Пока жители и компании активно используют цифровые мощности, заставляя серверы работать с полной отдачей, выделяя тепло, в ЕС внедряют системы, способные использовать эту энергию для отопления домов, офисов и других объектов. Для этого тепло будет передаваться в муниципальные отопительные системы.

 Источник изображения: ugoxuqu/unsplash.com

Источник изображения: ugoxuqu/unsplash.com

Многолетние дискуссии об использовании остаточного тепла наконец начали давать плоды, превращаясь в реальные проекты. Первые эксперименты начались уже довольно давно, а теперь тепло ЦОД используется во многих странах ЕС и Великобритании. Над соответствующими проектами работают Google, Apple, Microsoft, Meta и другие гиперскейлеры, а также многочисленные операторы ЦОД масштабом поменьше — реализация проектов находится на разных стадиях. Например, тепловые насосы будут применяться в новых финских ЦОД Microsoft, а Meta использует остаточное тепло в Дании ещё с 2020 года.

Так, только Facebook планирует обеспечить здесь в следующем году теплом порядка 11 тыс. домохозяйств. Особенно привлекательным для таких проектов стал север Европы, где реализуют свои планы компании вроде Equinix — ЦОД разных операторов с возможностью передачи тепла появляются в Финляндии, Германии, Нидерландах и других странах. По словам представителя Dutch Data Center Association, использование избыточного тепла стало намного привлекательнее, чем пару лет назад — хотя бы потому, что поставки газа некоторыми традиционными маршрутами почти прекратились.

Одним из главных драйверов перехода на новые источники энергии является влияние общественного мнения, поскольку ЕС находится на финальной стадии обсуждения новой директивы, связанной с обеспечением энергоэффективности компаний. В частности, от операторов потребуют исследования целесообразности использования их тепла в отопительных сетях. Кроме того, льготы для таких проектов предлагаются и на уровне отдельных государств и даже муниципалитетов, от Франции до Дании. В некоторых случаях передача тепла в общую отопительную инфраструктуру является обязательным условием для получения разрешения на строительство.

По всему миру на ЦОД, согласно данным Science за 2020 год, приходилось примерно 1 % потребления электричества, и этот уровень сохранялся в последнее время, несмотря на взрывной рост строительства ЦОД в последнее время. Тем не менее, в Европе, где плотность размещения центров обработки данных намного выше, этот показатель местами достигает 3 % и более. Согласно исследованиям, проведённым «зелёным» проектом ReUseHeat, находящиеся вблизи отопительной инфраструктуры ЦОД способны обеспечить около 50 ТВт·ч в пересчёте на избыточное тепло в год — 2–3 % от общего энергопотребления домохозяйств ЕС в 2020 году по статистике Eurostat.

 Источник изображения: geralt/unsplash.com

Источник изображения: geralt/unsplash.com

Известно, что техногиганты не менее 10 лет рекламировали идею использования тепла своих серверов в хозяйстве, но до недавних пор такие проекты встречали на своём пути довольно много бюрократических и технических препятствий.

Для преобразования тепла в пригодный для использования в системах отопления «формат», необходимо специальное оборудование. Кроме того, энергетические компании часто требуют заключения контрактов на снабжение теплом не менее, чем на 10 лет — такого финансового горизонта планирования обычно нет ни у одного оператора ЦОД.

Ещё одной проблемой является необходимость расположения дата-центра вблизи отопительной инфраструктуры, иначе тепло просто рассеется по пути в теплосеть. Наконец, в части стран отопление необходимо только 6 или менее месяцев в году, из-за чего значительная часть избыточного тепла будет просто теряться.

Впрочем, энтузиазм европейских политиков и бизнесменов не угасает. По словам одного из членов датского парламента, «если мы можем обеспечить использование тепла дата-центров, мы можем сэкономить на счетах за энергию и сделать нечто хорошее для климата».


window-new
Soft
Hard
Тренды 🔥
Беспощадное солнце пустыни: журналисты поделились новыми подробностями и кадрами Dune: Awakening 2 ч.
Activision Blizzard расследует кражи учётных данных у читеров 2 ч.
Пользователи Windows 11 смогут использовать ИИ-помощника Copilot без учётной записи Microsoft, но с ограничениями 2 ч.
Google сообщила, что iPhone получат поддержку современного протокола для СМС этой осенью 3 ч.
Microsoft защитила клиентские ИИ-приложения от галлюцинаций 3 ч.
Gearbox отметила уход от Embracer увольнением «бесчисленного множества» сотрудников 4 ч.
ИИ-стартап Илона Маска X.ai представил обновлённую нейросеть Grok-1.5 — она стала ближе к GPT-4 4 ч.
Пользователи Telegram из России, Украины и Беларуси смогут заблокировать сообщения от незнакомцев 4 ч.
«Золотая лихорадка закончилась»: инди-разработчикам стало невыгодно делать свои игры эксклюзивами Epic Games Store и Game Pass 4 ч.
Крупное обновление добавило в No Man’s Sky возможность создавать собственные космические корабли — фанаты мечтали об этом с 2016 года 16 ч.