ما تقوله الأدلة حول مخاوف الأمان والخصوصية

ألمح رئيس الوزراء البريطاني ، ريشي سوناك ، مؤخرًا إلى أنه قد يحظر تطبيق وسائل التواصل الاجتماعي TikTok من الأجهزة التي يستخدمها موظفو الحكومة.

وتأتي تعليقاته في أعقاب حظر مماثل من قبل المفوضية الأوروبية والحكومة الفيدرالية الأمريكية. في قضايا الاتحاد الأوروبي والولايات المتحدة ، تم استخدام المخاوف الأمنية كمبرر للحظر. على عكس Facebook أو Instagram (كلاهما مملوك لشركة Meta ومقرها الولايات المتحدة) ، فإن TikTok مملوكة لشركة ByteDance ، ومقرها الصين.

هذه المخاوف ليست جديدة. في أكتوبر 2022 ، وزير الخارجية الأمريكي السابق مايك بومبيو وصف خوفه أن الصين يمكنها إجبار TikTok على العمل كـ “حصان طروادة” ، والوصول إلى البيانات الحساسة على أجهزة المستخدمين واستغلالها.

تجمع TikTok ، مثل العديد من تطبيقات الوسائط الاجتماعية ، كميات كبيرة من بيانات المستخدم بما في ذلك تواريخ الميلاد وعناوين البريد الإلكتروني وأرقام الهواتف.

عادة ما تتعلق المناقشات حول الخصوصية في تطبيقات الوسائط الاجتماعية بالتجميع المفرط للبيانات التي يوافق المستخدمون على تسليمها. تنص سياسة خصوصية TikTok على أن التطبيق يجمع بيانات موقع المستخدم ، بدقة تصل إلى ثلاثة كيلومترات مربعة. هذا خشن تمامًا – Instagram ، على سبيل المثال ، يسمح بتتبع أكثر دقة للموقع.

يقول Instagram إن هذا مخصص لتخصيص الإعلانات. ولكن الخطر يكمن في أنه إذا تم الكشف عن الموقع ، يمكن أن تستخدم من قبل الأطراف الخبيثة لتتبع المستخدمين ، وتمكين السلوك مثل مطاردة الشريك الحميم. كان هذا النوع من بيانات الموقع متورطًا في محاولة مزعومة من قبل موظفي TikTok (الذين ورد فيما بعد أنه تم فصلهم) لتحديد موقع الصحفيين المقيمين في الولايات المتحدة – في محاولة للقبض على التسريبات من داخل الشركة.

في رسالة بريد إلكتروني نشرتها مجلة فوربس ، كتب الرئيس التنفيذي لشركة ByteDance ، روبو ليانج ، أنه “أصيب بخيبة أمل شديدة” بسبب الحلقة.

يمكّن الوصول إلى بيانات المستخدم الشركات من إنشاء ملفات تعريف لمستخدمين محددين. أدى التوافر المتزايد لأدوات البرمجيات باستخدام التعلم الآلي – وهو نوع من الذكاء الاصطناعي يتحسن في مهمة ذات خبرة – إلى إثارة قلق بعض محللي الأمن السيبراني.

يشعر هؤلاء الخبراء بالقلق إزاء الاستخدام المحتمل لهذه التكنولوجيا “لهجمات التصيد المستهدفة”. في هذه الهجمات ، يتلقى الضحايا اتصالات ، مثل بريد إلكتروني ، تنتحل شخصية مصدر موثوق ، مما يدفع الضحية للانخراط في عملية احتيال.

تطبيقات الوسائط الاجتماعية لديها معرفة كبيرة بمستخدميها. لذلك من المعقول تمامًا أن يؤدي إنشاء ملف تعريف من بيانات المستخدم إلى تمكين هجمات التصيد المستهدفة على الحسابات الحكومية الحساسة. ومع ذلك ، لا يوجد دليل على استخدام TikTok لهذا الغرض.

معايير الصناعة

استجابت ByteDance للحظر الأخير بالقول إنها لم تقدم بيانات المستخدم للحكومة الصينية. كما تدعي أن ممارسات جمع البيانات الخاصة بها تتوافق مع ممارسات شركات التواصل الاجتماعي الأخرى. تدعم المقارنة السريعة مع سياسة خصوصية Instagram هذا العرض: تتطابق معلومات التعريف التي تم جمعها بواسطة Meta من Facebook و Instagram بشكل عام مع المعلومات التي يجمعها TikTok من حيث معلومات الجهاز والرسوم البيانية للوسائط الاجتماعية ومعلومات الموقع.

تركزت بعض الانتقادات الموجهة لتطبيقات مثل TikTok على الادعاء بأنها تعمل كبرامج تجسس. الهدف من برامج التجسس ، مقارنة بجمع البيانات ، هو استخراج معلومات سرية أو حساسة لم يوافق المستخدمون على تقديمها. على سبيل المثال ، قد تستهدف برامج التجسس المعلومات التي قام المستخدم بنسخها في حافظة أجهزته.

النصيحة الشائعة هي استخدام كلمات مرور معقدة وفريدة من نوعها لكل حساب على الإنترنت. لذلك غالبًا ما يستخدم الأشخاص المهتمون بالخصوصية مديري كلمات المرور مثل LastPass أو 1password.

ومع ذلك ، من المرجح أن يقوم هؤلاء المستخدمون بنسخ ولصق كلمة المرور المعقدة من مدير كلمات المرور الخاصة بهم في آليات تسجيل الدخول الخاصة بالحساب. يسمح استخراج معلومات الحافظة لمن لديهم نوايا خبيثة باستعادة كلمات المرور والوصول إلى الحسابات الحساسة.

تقييم المخاطر

TikTok هو “تطبيق مغلق المصدر” ، مما يعني أن شفرة المصدر – التعليمات الأساسية – المستخدمة لبناء التطبيق غير متوفرة. ومع ذلك ، كانت هناك جهود لعكس هندسة كود مصدر TikTok. تم استخدام هذه الجهود لتحديد ما إذا كان التطبيق يتصرف كبرنامج تجسس ، أو يجمع بيانات المستخدم بطرق مفرطة.

وصف تقرير صادر عن Citizen Lab Research الهندسة العكسية لإصدار Android الموزع من TikTok. وخلصت إلى أن “TikTok … (لا) يظهر سلوكًا ضارًا بشكل علني” مثل ذلك الذي تعرضه برامج التجسس. علاوة على ذلك ، يقول التقرير أنه بينما تجمع TikTok مجموعة كبيرة ومتنوعة من معلومات الجهاز ومعلومات نمط الاستخدام ، “(هذه) الخصائص ليست استثنائية عند مقارنتها بمعايير الصناعة.”

من المعقول أن نستنتج أن Tiktok بحد ذاته لا يمثل بالضرورة خطرًا أكبر بكثير في هذا الصدد من تطبيقات الوسائط الاجتماعية الأخرى الموجودة في الولايات المتحدة ، وهو استنتاج تشاركه مؤسسة Electronic Frontier Foundation.

دفعت عمليات الحظر الأخيرة ByteDance إلى تعزيز حماية الخصوصية للمستخدمين. على وجه التحديد ، أعلنت ByteDance عن Project Clover ، الذي يحدد استراتيجيات تحسين أمان البيانات الأوروبية.

يقترح Project Clover ما يسمى بـ European Enclave ، والذي يهدف إلى ضمان عدم تمكن موظفي ByteDance من الوصول إلى بيانات المستخدم الأوروبية أو نقلها خارجيًا دون الامتثال لقوانين حماية البيانات مثل القانون العام لحماية البيانات (GDPR). سيتم الإشراف عليها أيضًا من قبل شركة أمان أوروبية تابعة لجهة خارجية – المناقشات بين ByteDance وهذه الجهة الخارجية جارية حاليًا.

حماية المستخدم

اقترحت ByteDance أيضًا آليتين لإخفاء هوية بيانات المستخدم ، والهدف منهما هو ضمان عدم تمكن أي أطراف خبيثة أرادت الوصول إلى بيانات مستخدم TikTok من استغلالها في عمليات التصيد الاحتيالي أو أنواع أخرى من الهجمات. تتمثل الطريقة الأولى في “تحديد اسم مستعار” للبيانات الشخصية التي يتم جمعها من المستخدمين لتتماشى مع المادة 4 (5) من القانون العام لحماية البيانات (GDPR). قد يتطلب ذلك معالجة البيانات الشخصية بطريقة لا يمكن ربطها بمستخدمين محددين دون استخدام معلومات خارجية إضافية.

ستقوم ByteDance أيضًا بتجميع المعلومات من المستخدمين في مجموعات بيانات كبيرة ، مما يحقق إخفاء الهوية عن طريق فصل التفاصيل عن ملف تعريف مستخدم معين. وبالتالي ، فإن حظر TikTok الأخير من المفوضية الأوروبية يسلط الضوء على تصور متزايد من الهيئات الإدارية بأن TikTok والتطبيقات الأخرى قد تضر بأمن المستخدم وخصوصيته من خلال جمع البيانات بشكل مفرط ومستهدف.

في حين أن هذا قد جعل ByteDance يقترح حماية خصوصية معززة ، يجب على المستخدمين الانتظار حتى تتحقق هذه الحماية ، ويتحقق الخبراء منها. في غضون ذلك ، يبقى العبء على المستخدمين لإدارة خصوصيتهم وتحديد ما إذا كانت المخاطر التي تقدمها تطبيقات الوسائط الاجتماعية مثل TikTok تستحق القيمة التي يقدمونها.