Российская компания по разработке программного обеспечения Pushwoosh, замаскированная под «американца», находит свое применение в армии США
Армия США использовала приложение с кодом, разработанным Pushwoosh для приложения, используемого Национальным учебным центром.
Лондон/Вашингтон:
Тысячи приложений для смартфонов в интернет-магазинах Apple и Google содержат компьютерный код, разработанный технологической компанией Pushwoosh, которая позиционируется как базирующаяся в США, но на самом деле является российской, как выяснило агентство Reuters.
Центры по контролю и профилактике заболеваний (CDC), главное агентство США по борьбе с серьезными угрозами для здоровья, заявили, что их обманули, полагая, что Пушвуш базируется в столице США. Узнав от Reuters о своих российских корнях, компания удалила программное обеспечение Pushwoosh из семи общедоступных приложений, сославшись на безопасность.
Армия США заявила, что в марте удалила приложение, содержащее код Pushwoosh, по тем же соображениям.
Этим приложением пользовались солдаты одной из главных военно-учебных баз страны.
Согласно документам компании, опубликованным в России и проанализированным Reuters, штаб-квартира Pushwoosh находится в сибирском городе Новосибирске, где она зарегистрирована как компания-разработчик программного обеспечения, которая также занимается обработкой данных. В компании работает около 40 человек, а выручка в прошлом году составила 143 270 000 рублей (2,4 миллиона долларов). Pushwoosh зарегистрирован в правительстве России для уплаты налогов в России.
Однако в социальных сетях и в документах регулирующих органов США она представлена как американская компания, базирующаяся в разное время в Калифорнии, Мэриленде и Вашингтоне, округ Колумбия, обнаружило агентство Reuters.
Pushwoosh предоставляет поддержку обработки кода и данных для разработчиков программного обеспечения, позволяя им профилировать онлайн-активность пользователей приложений для смартфонов и отправлять индивидуальные push-уведомления с серверов Pushwoosh.
На своем веб-сайте Pushwoosh заявляет, что не собирает конфиденциальную информацию, и агентство Reuters не обнаружило никаких доказательств того, что Pushwoosh неправильно обращался с данными пользователей. Однако российские власти вынудили местные компании передать пользовательские данные национальным службам безопасности.
Основатель Pushwoosh Макс Конев сообщил Рейтер в сентябрьском электронном письме, что компания не пыталась скрыть свое российское происхождение. «Я горжусь тем, что я русский, и никогда бы этого не скрывал».
Он сказал, что компания «не имеет никакого отношения к российскому правительству» и хранит свои данные в США и Германии. Однако
Эксперты по кибербезопасности заявили, что хранение данных за границей не помешает российским спецслужбам заставить российскую фирму уступить доступ к этим данным.
Россия, чьи связи с Западом ухудшились после захвата Крымского полуострова в 2014 году и вторжения в Украину в этом году, является мировым лидером в области хакерских атак и кибершпионажа, шпионящего за иностранными правительствами и промышленными предприятиями в поисках конкурентного преимущества, по мнению западных официальных лиц.
Огромная база данных
Код Pushwoosh был установлен в приложениях широкого круга международных компаний, влиятельных некоммерческих и государственных учреждений, от глобальной компании по производству потребительских товаров Unilever Plc и Союза европейских футбольных ассоциаций (УЕФА) до политически мощное оружейное лобби США, Национальная стрелковая ассоциация (NRA) и Лейбористская партия Великобритании.
Бизнес Pushwoosh с государственными учреждениями США и частными компаниями может нарушить договорные отношения и законы Федеральной торговой комиссии США (FTC) или привести к санкциям, сообщили Рейтер 10 экспертов по правовым вопросам. ФБР, Минфин США и Федеральная торговая комиссия отказались от комментариев.
Джессика Рич, бывший директор Бюро по защите прав потребителей Федеральной торговой комиссии США, заявила, что «дело такого типа подпадает под компетенцию Федеральной торговой комиссии», которая расправляется с недобросовестными или вводящими в заблуждение действиями, затрагивающими потребителей в США.
Вашингтон может принять решение о введении санкций против Pushwoosh и обладает широкими полномочиями для этого, заявили эксперты по санкциям, в том числе, возможно, посредством исполнительного указа от 2021 года, который дает Соединенным Штатам возможность нацеливаться на российский технологический сектор из-за злонамеренной киберактивности.
Код Pushwoosh был встроен почти в 8000 приложений в магазинах приложений Google и Apple, согласно Appfigures, веб-сайту по анализу приложений. На веб-сайте Pushwoosh говорится, что в его базе данных зарегистрировано более 2,3 миллиарда устройств.
«Pushwoosh собирает пользовательские данные, включая точную геолокацию, в конфиденциальных и государственных приложениях, что может позволить проводить инвазивное отслеживание в масштабе», — сказал Джером Дангу, соучредитель Confian, фирмы, которая отслеживает неправомерное использование данных, собранных в цепочках поставок онлайн-рекламы. .
«Мы не обнаружили каких-либо явных признаков обмана или злого умысла в деятельности Pushwoosh, что, безусловно, не снижает риск утечки данных приложения в Россию», — добавил он.
Google заявил, что конфиденциальность является «огромным приоритетом» для компании, но не ответил на запросы о комментариях о Pushwoosh. Apple заявила, что серьезно относится к доверию и безопасности пользователей, но также отказалась отвечать на вопросы.
Кейр Джайлс, эксперт по России лондонского аналитического центра Chatham House, сказал, что, несмотря на международные санкции в отношении России, «значительное число» российских компаний по-прежнему ведет торговлю за границей и собирает личные данные людей.
Учитывая российские внутренние законы о безопасности, «не должно быть сюрпризом, что с прямыми связями или без прямых связей с российскими государственными шпионскими кампаниями фирмы, которые обрабатывают данные, будут стремиться преуменьшить свои российские корни», — сказал он.
«Вопросы безопасности»
После того, как агентство Reuters сообщило о российских связях Pushwoosh с CDC, агентство здравоохранения удалило код из своих приложений, поскольку «компания представляет потенциальную угрозу безопасности», — заявила пресс-секретарь Кристен Нордлунд.
«CDC считает, что Pushwoosh — это компания, базирующаяся в Вашингтоне, округ Колумбия, — говорится в заявлении Нордлунда. Убеждение было основано на «заявлениях», сделанных компанией, сказала она, не вдаваясь в подробности.
Приложения CDC, которые содержали код Pushwoosh, включали основное приложение агентства и другие приложения, предназначенные для обмена информацией по широкому кругу проблем со здоровьем. Один был для врачей, лечащих заболевания, передающиеся половым путем. Хотя CDC также использовал уведомления компании по вопросам здравоохранения, таким как COVID, агентство заявило, что «не делилось данными пользователей с Pushwoosh».
Армия сообщила Reuters, что в марте удалила приложение, содержащее Pushwoosh, сославшись на «проблемы безопасности». Он не сказал, насколько широко приложение, которое было информационным порталом для использования в его Национальном учебном центре (NTC) в Калифорнии, использовалось войсками.
NTC является крупным центром боевой подготовки в пустыне Мохаве для солдат перед развертыванием, а это означает, что утечка данных может выявить предстоящие перемещения войск за границу.
Официальный представитель армии США Брайс Дуби заявил, что армия не пострадала от «оперативной потери данных», добавив, что приложение не подключалось к армейской сети.
Некоторые крупные компании и организации, включая УЕФА и Unilever, заявили, что приложения для них установили третьи стороны, или они думали, что нанимают американскую компанию.
«У нас нет прямого отношения к Pushwoosh», — говорится в заявлении Unilever, добавляя, что Pushwoosh был удален из одного из своих приложений «некоторое время назад».
УЕФА заявила, что ее контракт с Pushwoosh заключен «с американской компанией». УЕФА отказался сообщить, известно ли ему о связях Pushwoosh с Россией, но заявил, что пересматривает свои отношения с компанией после того, как с ним связалось агентство Reuters.
В NRA заявили, что их контракт с компанией истек в прошлом году, и что «не известно ни о каких проблемах».
Лейбористская партия Великобритании не ответила на запросы о комментариях.
«Данные, которые собирает Pushwoosh, аналогичны данным, которые могут быть собраны Facebook, Google или Amazon, но разница в том, что все данные Pushwoosh в США отправляются на серверы, контролируемые компанией (Pushwoosh) в России», — говорится в сообщении. Зак Эдвардс, исследователь в области безопасности, который впервые заметил распространенность кода Pushwoosh, работая в некоммерческой организации Internet Safety Labs.
Роскомнадзор, государственный регулятор связи России, не ответил на запрос Reuters о комментариях.
Поддельный адрес, поддельные профили
В документах регулирующих органов США и в социальных сетях Pushwoosh никогда не упоминает о своих российских связях. Компания перечисляет «Вашингтон, округ Колумбия» как его местонахождение в Твиттере, и утверждает, что адрес его офиса — дом в пригороде Кенсингтона, штат Мэриленд, согласно последним документам корпорации США, представленным госсекретарю Делавэра. Он также указывает адрес Мэриленда в своих профилях на Facebook и LinkedIn.
Кенсингтонский дом — дом русского друга Конева, который разговаривал с журналистом Рейтер на условиях анонимности. Он сказал, что не имеет никакого отношения к Pushwoosh и только согласился разрешить Коневу использовать его адрес для получения почты.
Конев сказал, что Pushwoosh начал использовать адрес Мэриленда для «получения деловой корреспонденции» во время пандемии коронавируса.
Он сказал, что теперь управляет Pushwoosh из Таиланда, но не предоставил никаких доказательств того, что он зарегистрирован там. Агентство Reuters не смогло найти компанию с таким названием в тайском реестре компаний.
Pushwoosh ни разу не упомянул о своей российской компании в восьми ежегодных документах, поданных в американский штат Делавэр, где она зарегистрирована, что может нарушить закон штата.
Вместо этого Pushwoosh указала адрес в Юнион-Сити, штат Калифорния, в качестве своего основного места деятельности с 2014 по 2016 год. По словам официальных лиц Юнион-Сити, этого адреса не существует.