Аналитика
Илјадници апликации за паметни телефони во онлајн продавниците на Apple и Google содржат компјутерски код развиен од технолошката компанија Pushwoosh, кој се претставува како со седиште во САД, но всушност е руски, откри Ројтерс. Центрите за контрола и превенција на болести (ЦДЦ), главната агенција на САД за борба против големите здравствени закани, соопштија дека биле измамени да веруваат дека Пушвуш е со седиште во главниот град на САД. Откако се дозна за своите руски корени од Ројтерс, го отстрани софтверот Pushwoosh од седум апликации за јавност, наведувајќи ги безбедносните грижи.
Армијата на САД соопшти дека ја отстранила апликацијата што содржи Pushwoosh код во март поради истата загриженост. Таа апликација ја користеа војниците во една од главните борбени бази за обука во земјата.
Според документите на компанијата јавно поднесени во Русија и прегледани од Ројтерс, седиштето на Pushwoosh е во сибирскиот град Новосибирск, каде што е регистрирана како софтверска компанија која исто така врши обработка на податоци. Вработува околу 40 луѓе и објави приход од 143.270.000 рубли (2,4 милиони долари) минатата година. Pushwoosh е регистриран кај руската влада да плаќа даноци во Русија.
На социјалните мрежи и во американските регулаторни поднесоци, сепак, таа се претставува како американска компанија, со седиште во различни периоди во Калифорнија, Мериленд и Вашингтон, откри Ројтерс.
Pushwoosh обезбедува поддршка за обработка на код и податоци за развивачите на софтвер, овозможувајќи им да ја профилираат онлајн активноста на корисниците на апликации за паметни телефони и да испраќаат прилагодени притисни известувања од серверите на Pushwoosh.
На својата веб-страница, Pushwoosh вели дека не собира чувствителни информации, а Ројтерс не најде докази дека Pushwoosh погрешно постапувал со податоците на корисниците. Руските власти, сепак, ги принудија локалните компании да ги предадат податоците за корисниците на домашните безбедносни агенции.
Основачот на Pushwoosh, Макс Конев, изјави за Reuters во е-пошта во септември дека компанијата не се обидела да го прикрие своето руско потекло. „Горд сум што сум Русин и никогаш не би го криел ова“. Тој рече дека компанијата „нема никаква врска со руската влада од каков било вид“ и дека ги чува своите податоци во САД и Германија.
Експертите за сајбер безбедност велат дека складирањето податоци во странство нема да ги спречи руските разузнавачки агенции да принудат руска фирма да отстапи пристап до тие податоци.
Русија, чии врски со Западот се влошија по преземањето на Кримскиот Полуостров во 2014 година и инвазијата на Украина оваа година, е глобален лидер во хакерството и сајбер-шпионажата, шпионирајќи ги странските влади и индустрии за да бара конкурентска предност, според Западните функционери.
ОГРОМНА БАЗА НА ПОДАТОЦИ
Pushwoosh кодот беше инсталиран во апликациите на широк спектар меѓународни компании, влијателни непрофитни и владини агенции од глобалната компанија за производи за широка потрошувачка Unilever Plc и Унијата на европски фудбалски асоцијации (УЕФА) до политички моќниот пиштол за лоби на САД , Националната асоцијација за пушки (НРА) и британската Лабуристичка партија.
Бизнисот на Пушвуш со американските владини агенции и приватни компании може да ги прекрши законите на договорите и законите на американската Федерална трговска комисија (FTC) или да предизвика санкции, изјавија 10 правни експерти за Ројтерс. ФБИ, Министерството за финансии на САД и ФТЦ одбија да коментираат.
Џесика Рич, поранешна директорка на Бирото за заштита на потрошувачи на FTC, рече дека „овој тип на случаи спаѓа во надлежност на FTC“, кој се бори против нефер или измамнички практики што ги засегаат потрошувачите во САД.
Вашингтон би можел да избере да воведе санкции врз Пушвуш и има широки овластувања да го стори тоа, велат експертите за санкции, вклучително и можеби преку извршна наредба од 2021 година што им дава на Соединетите држави способност да го таргетираат рускиот технолошки сектор поради злонамерни сајбер активности.
Pushwoosh кодот е вграден во речиси 8.000 апликации во продавниците за апликации Google и Apple, според Appfigures, веб-страница за разузнавање на апликации. Веб-страницата на Pushwoosh вели дека има повеќе од 2,3 милијарди уреди наведени во нејзината база на податоци. „Pushwoosh собира кориснички податоци, вклучително и прецизна геолокација, на чувствителни и владини апликации, што би можело да овозможи инвазивно следење во обем“, рече Џером Дангу, ко-основач на Confiant, фирма која ја следи злоупотребата на податоците собрани во синџирите на снабдување со онлајн рекламирање. „Не најдовме јасен знак за измамничка или злонамерна намера во активноста на Pushwoosh, што секако не го намалува ризикот од протекување на податоци од апликациите во Русија“, додаде тој.
Google рече дека приватноста е „огромен фокус“ за компанијата, но не одговори на барањата за коментар за Pushwoosh. Apple рече дека сериозно ја сфаќа довербата и безбедноста на корисниците, но слично одби да одговори на прашања.
Кир Гилс, експерт за Русија во лондонската тинк-тенк Четам Хаус, рече дека и покрај меѓународните санкции кон Русија, „значителен број“ руски компании сè уште тргуваат во странство и собираат лични податоци на луѓето.
Имајќи ги предвид домашните безбедносни закони на Русија, „не треба да биде изненадување што со или без директни врски со руската државна шпионажна кампања, фирмите што се занимаваат со податоци ќе сакаат да ги омаловажуваат своите руски корени“, рече тој.
„БЕЗБЕДНОСНИ ПРАШАЊА“
Откако Ројтерс побара објаснување за руските врски на Пушвуш со ЦДЦ, здравствената агенција го отстрани кодот од своите апликации бидејќи „компанијата претставува потенцијална безбедносна загриженост“, рече портпаролот Кристен Нордлунд. „ЦДЦ веруваше дека Пушвуш е компанија со седиште во областа Вашингтон“, се вели во соопштението на Нордлунд. Верувањето се засноваше на „претставите“ направени од компанијата, рече таа, без да наведе повеќе детали.
Апликациите за ЦДЦ кои содржеа код за Pushwoosh ја вклучуваа главната апликација на агенцијата и други поставени за споделување информации за широк спектар на здравствени проблеми. Едниот беше за лекарите кои лекуваат сексуално преносливи болести. Додека ЦДЦ исто така ги користеше известувањата на компанијата за здравствени прашања како што е Ковид, агенцијата рече дека „не ги споделила податоците за корисниците со Pushwoosh“.
Армијата изјави за Ројтерс дека ја отстрани апликацијата што содржи Pushwoosh во март, наведувајќи ги „безбедносните проблеми“. Не е наведено колку широко апликацијата, која беше информативен портал за употреба во нејзиниот Национален центар за обука (NTC) во Калифорнија, била користена од војниците.
NTC е главен борбен центар за обука во пустината Мохаве за војници пред распоредување, што значи дека пробивањето на податоците таму може да ги открие претстојните движења на војниците во странство. Портпаролот на американската армија Брајс Дуби рече дека Армијата не претрпела „оперативна загуба на податоци“, додавајќи дека апликацијата не се поврзала со армиската мрежа.
Некои големи компании и организации, вклучувајќи ги УЕФА и Унилевер, рекоа дека трети страни ги поставиле апликациите за нив или мислеле дека ангажираат американска компанија. „Немаме директна врска со Pushwoosh“, се вели во соопштението на Unilever, додавајќи дека Pushwoosh е отстранет од една од неговите апликации „пред некое време“.
УЕФА соопшти дека нејзиниот договор со Пушвуш бил „со американска компанија“. УЕФА одби да каже дали знае за руските врски на Пушвуш, но рече дека го разгледува нејзиниот однос со компанијата откако Ројтерс ја контактираше. НРА соопшти дека нејзиниот договор со компанијата завршил минатата година и дека „не била свесна за никакви проблеми“.
Британската Лабуристичка партија не одговори на барањата за коментар.
„Податоците што ги собира Pushwoosh се слични на податоците што би можеле да ги соберат Facebook, Google или Amazon, но разликата е во тоа што сите податоци на Pushwoosh во САД се испраќаат до сервери контролирани од компанија (Pushwoosh) во Русија“, изјави Зак Едвардс , безбедносен истражувач, кој прв ја забележал распространетоста на кодот Pushwoosh додека работел за Internet Safety Labs, непрофитна организација.
Роскомнадзор, рускиот државен регулатор за комуникации, не одговори на барањето на Ројтерс за коментар.
ЛАЖНА АДРЕСА, ЛАЖНИ ПРОФИЛИ
Во американските регулаторни поднесоци и на социјалните мрежи, Pushwoosh никогаш не ги спомнува своите руски врски. Компанијата го наведува Вашингтон, Ди Си, како нејзина локација на Твитер и ја тврди адресата на нејзината канцеларија како куќа во предградието на Кенсингтон, Мериленд, според нејзините најнови документи од корпорацијата од САД доставени до државниот секретар на Делавер. Исто така, ја наведува адресата на Мериленд на нејзините профили на Facebook и LinkedIn.
Куќата во Кенсингтон е дом на рускиот пријател на Конев кој разговарал со новинар на Ројтерс под услов да остане анонимен. Тој рече дека нема никаква врска со Пушвуш и дека само се согласил да му дозволи на Конев да ја користи неговата адреса за примање пошта. Конев рече дека Пушвуш почнал да ја користи адресата на Мериленд за да „прима деловна кореспонденција“ за време на пандемијата на коронавирус.
Тој рече дека сега управува со Pushwoosh од Тајланд, но не обезбеди докази дека е регистриран таму. Ројтерс не можеше да најде компанија со тоа име во тајландскиот регистар на компании.
Пушвуш никогаш не спомна дека е со седиште во Русија во осум годишни пријави во американската држава Делавер, каде што е регистриран, пропуст што може да го прекрши државниот закон. Наместо тоа, Pushwoosh наведе адреса во Унион Сити, Калифорнија како нејзино главно место на деловна активност од 2014 до 2016 година. Таа адреса не постои, според официјалните лица на Унион Сити.
Pushwoosh користел сметки на LinkedIn кои наводно им припаѓале на двајца директори со седиште во Вашингтон, Мери Браун и Ноа О’Ши за да побара продажба. Но, ниту Браун ниту О’Ши се вистински луѓе, откри Ројтерс.
Оној што му припаѓал на Браун всушност бил на учител по танц од Австрија, снимен од фотограф во Москва, кој за Ројтерс изјавил дека нема поим како тоа завршило на страницата.
Конев призна дека сметките не се оригинални. Тој рече дека Pushwoosh ангажирал маркетинг агенција во 2018 година за да ги создаде во обид да ги користи социјалните мрежи за да го продаде Pushwoosh, а не да го маскира руското потекло на компанијата.
LinkedIn соопшти дека ги отстранил сметките откако бил предупреден од Ројтерс.
