Хиляди приложения за смартфони в онлайн магазините на Apple и Google съдържат компютърен код, разработен от технологичната компания Pushwoosh. Тя се представя за базирана в САЩ, но всъщност е руска, установи „Ройтерс“ в свое разследване. Оказва се, че Pushwoosh е проникнала дори в американската армия и в основната здравна агенция на Щатите.
От центъра за контрол и превенция на заболяванията (CDC) заявиха, че са били подведени, че Pushwoosh е базирана в столицата на САЩ - Вашингтон. След като научава за руските корени на компанията благодарение на агенция „Ройтерс“, агенцията премахва софтуера от 7 публични приложения, като се позовава на опасения за сигурността.
Армията на САЩ съобщава, че през март е премахнала приложение, съдържащо кода на Pushwoosh - поради същите опасения. Тази апликация е била използвано от войниците в една от основните бази за бойно обучение в страната.
Според документите на компанията, публично подадени в Русия, Pushwoosh е със седалище в сибирския град Новосибирск, където е регистрирана като софтуерна компания, извършваща и обработка на данни. В нея работят около 40 души и тя отчита приходи от 143 270 000 рубли (2,4 млн. долара) за миналата година. Pushwoosh е регистрирана в базата на руското правителство, за да плаща данъци в Русия.
В социалните мрежи и в регулаторните документи на САЩ обаче тя се представя като американска компания, базирана в Калифорния, Мериленд и Вашингтон през различни периоди от време, установява „Ройтерс“.
Pushwoosh предоставя код и поддръжка за обработка на данни за разработчици на софтуер, като им позволява да профилират онлайн активността на потребителите на приложения за смартфони и да им изпращат специално пригодени известия от сървърите на фирмата.
На своя уебсайт Pushwoosh твърди, че не събира чувствителна информация, а и агенцията не открива доказателства, че компанията е обработвала неправилно данните на потребителите. Руските власти обаче имат практиката да принуждават местни компании да предават потребителски данни на националните агенции за сигурност.
Основателят на Pushwoosh - Макс Конев, заявява в имейл през септември, че компанията не се е опитвала да прикрие руския си произход. "Гордея се, че съм руснак, никога не бих скрил това", казва той и допълва, че компанията "няма никаква връзка с руското правителство по какъвто и да е начин". По думите му, тя съхранява данните си в САЩ и Германия.
Според експерти по киберсигурност обаче съхраняването на данни в чужбина няма да попречи на руските разузнавателни служби да принудят руска фирма да предостави достъп до тези данни.
Според западни служители Русия е световен лидер в хакерството и кибершпионажа, като шпионира чужди правителства и индустрии, за да търси конкурентно предимство.
Огромна база данни
Кодът на Pushwoosh е инсталиран в приложенията на редица международни компании, влиятелни организации с нестопанска цел и правителствени агенции - от световната компания за потребителски стоки Unilever Plc и УЕФА до политически влиятелното оръжейно лоби в САЩ Национална оръжейна асоциация (NRA) и британската Лейбъристка партия.
Бизнесът на Pushwoosh с американски правителствени агенции и частни компании може да наруши законите на Федералната търговска комисия (FTC) на САЩ или да предизвика санкции, твърдят 10 правни експерти пред "Ройтерс". ФБР, Министерството на финансите на САЩ и Федералната търговска комисия са отказали коментар.
Джесика Рич - бивш директор на Бюрото за защита на потребителите на FTC, казва, че "този вид дела попадат точно в правомощията на комисията", която се бори с нелоялни или измамни практики, засягащи потребителите в САЩ.
Вашингтон може да реши да наложи санкции на Pushwoosh и има широки правомощия за това, включително чрез изпълнителна заповед от 2021 г., която дава на САЩ възможността да санкционират руския технологичен сектор заради злонамерена кибердейност.
Кодът на Pushwoosh е бил вграден в почти 8000 приложения в магазините за апликации на Google и Apple, според Appfigures - уебсайт за разузнаване на приложения. В сайта на руската фирма се посочва, че в базата данни на компанията са включени над 2,3 млрд. устройства.
"Pushwoosh събира потребителски данни, включително точна геолокация, за чувствителни и правителствени приложения, което може да позволи проследяване в голям мащаб", казва Джером Дангу, съосновател на Confiant. Това е фирма, която следи за злоупотреби с данни, събирани при онлайн рекламата. "Не сме открили ясни признаци за измамни или злонамерени намерения в дейността на Pushwoosh, което със сигурност не намалява риска от изтичане на данни от приложенията към Русия", добавя той.
Google заявява, че защитата на личните данни е "огромен фокус" за компанията, но не отговаря на призивите на "Ройтерс" за коментар относно Pushwoosh. Apple твърди, че се отнася сериозно към доверието и безопасността на потребителите, но също отказва да дава детайли.
Киър Джайлс - експерт по темата "Русия" в лондонския мозъчен тръст Chatham House, заявява, че въпреки международните санкции срещу Москва, "значителен брой" руски компании все още търгуват в чужбина и събират лични данни на граждани. Като се имат предвид руските закони за вътрешна сигурност, "не би трябвало да е изненада, че със или без преки връзки с руските държавни шпионски кампании, фирмите, които обработват данни, ще се стремят да омаловажат руските си корени", казва той.
Проблеми със сигурността
От Центъра за превенция и контрол на заболяванията в САЩ премахват кода на Pushwoosh от приложенията си, защото "компанията представлява потенциална заплаха за сигурността", заявява говорителят Кристен Нордлунд. "CDC смяташе, че Pushwoosh е компания, базирана в района на Вашингтон". Убеждението се основава на "изявления", направени от фирмата.
Приложенията на CDC, които са съдържали код на Pushwoosh, са включвали основната апликация на агенцията и други, създадени за споделяне на информация по широк кръг от здравни проблеми. Една от тях е била предназначена за лекари, лекуващи болести, предавани по полов път. Макар CDC да е използвала и известия на компанията за здравни въпроси като COVID-19, агенцията заявява, че "не е споделяла потребителски данни с Pushwoosh".
От армията на САЩ казват пред "Ройтерс", че са премахнали приложение, съдържащо Pushwoosh, през март, позовавайки се на "проблеми със сигурността". Не се съобщава какъв обхват е имала апликацията - информационен портал за Националния център за обучение (NTC) в Калифорния. NTC е основен център за бойна подготовка в пустинята Мохаве, което означава, че пробив в данните там би могъл да разкрие предстоящи движения на войски в чужбина.
Припомняме, че в Мохаве се провежда общо учение на САЩ, Великобритания и Австралия, в което военните симулират отговор срещу руска инвазия в Европа.
ОЩЕ: „Таймс“: Британски войници се учат в Калифорния, за да се бият с Русия
Говорителят на армията на САЩ Брайс Дюби заявява пред "Ройтерс", че не са претърпели "оперативна загуба на данни".
Някои големи компании и организации, включително УЕФА и Unilever, твърдят, че трети страни са създали приложенията за тях, или пък са смятали, че наемат американска компания. Британската Лейбъристка партия, която също е засегната, не е коментирала темата публично.
В момента Pushwoosh се управлява от Тайланд, твърди собственикът Конев, но няма доказателства фирмата да е регистрирана в азиатската страна. По време на пандемията от коронавирус компанията използвала адреса си в Мериленд, за да „получава бизнес кореспонденция“, по думите на ръководителя ѝ. В общо 8 годишни документа, подадени в щата Делауеър, Pushwoosh никъде не е споменала, че е базирана в Русия. Това може да се тълкува като нарушение на закона на щата, където фирмата е регистрирана.
Вместо това компанията на Конев е посочила адрес в Юниън Сити, Калифорния като като свое основно място на дейност от 2014 до 2016 г. Този адрес не съществува според служители от Юниън Сити, цитирани от „Ройтерс“. Pushwoosh използва акаунти в LinkedIn, за които се твърди, че принадлежат на двама ръководители от Вашингтон, окръг Колумбия, на име Мери Браун и Ноа О'Шей. Но нито Браун, нито О'Шей са реални лица, установява агенцията.
Конев признава, че профилите не са истински. Той казва, че през 2018 г. Pushwoosh е наела маркетингова агенция, която да ги създаде в опит да използва социалните мрежи, за да продава Pushwoosh, а не за да прикрие руския произход на компанията. От LinkedIn твърдят, че са премахнали акаунтите, след като са била предупредени от „Ройтерс“.