Какое интересное расследование американского информационного агентства.
Как пишет Reuters, тысячи приложений для смартфонов в интернет-магазинах Apple и Google содержат компьютерный код, разработанный технологической компанией Pushwoosh, которая позиционирует себя как базирующаяся в США, но на самом деле является российской.
Центры по контролю и профилактике заболеваний (CDC), - главное агентство США по борьбе с серьезными угрозами для здоровья - заявили, что их обманули, полагая, что Pushwoosh базируется в столице США. Узнав от Reuters о своих российских корнях, компания удалила программное обеспечение Pushwoosh из семи общедоступных приложений, сославшись на соображения безопасности.
Армия США заявила, что в марте удалила приложение, содержащее код Pushwoosh, из-за тех же опасений. Этим приложением пользовались солдаты одной из главных военно-учебных баз страны.
Согласно документам компании, опубликованным в России и проанализированным Reuters, штаб-квартира Pushwoosh находится в сибирском городе Новосибирске, где она зарегистрирована как компания-разработчик программного обеспечения, которая также занимается обработкой данных. В компании работает около 40 человек, а выручка в прошлом году составила 143 270 000 рублей (2,4 миллиона долларов). Pushwoosh зарегистрирован российскими органами власти для уплаты налогов в России.
Однако в социальных сетях и в документах регулирующих органов США она представлена как американская компания, базирующаяся в разное время в Калифорнии, Мэриленде и Вашингтоне, округ Колумбия.
Pushwoosh предоставляет разработчикам программного обеспечения поддержку в области кода и обработки данных, позволяя им отслеживать онлайн-активность пользователей приложений для смартфонов и отправлять индивидуальные push-уведомления с серверов Pushwoosh.
На своем веб-сайте Pushwoosh заявляет, что не собирает конфиденциальную информацию, и агентство Reuters не обнаружило доказательств того, что Pushwoosh неправильно обращался с данными пользователей. Однако российские власти вынудили местные компании передать пользовательские данные национальным спецслужбам.
Основатель Pushwoosh Макс Конев сообщил Reuters в сентябре в электронном письме, что компания не пыталась скрыть свое российское происхождение:
«Я горжусь тем, что я русский, и никогда бы этого не скрывал».
Он сказал, что компания «не имеет никакого отношения к российскому правительству» и хранит свои данные в США и Германии.
Однако эксперты по кибербезопасности заявили, что хранение данных за границей не помешает российским спецслужбам заставить российскую фирму дать доступ к этим данным.
Код Pushwoosh был установлен в приложениях широкого круга международных компаний, влиятельных некоммерческих и государственных учреждений, от глобальной компании по производству потребительских товаров Unilever Plc и Союза европейских футбольных ассоциаций (УЕФА) до Национальной стрелковой ассоциации США (NRA) и Лейбористской партии Великобритании.
Бизнес Pushwoosh с государственными учреждениями США и частными компаниями может нарушить постановления Федеральной торговой комиссии США (FTC) или привести к санкциям. ФБР, Минфин США и Федеральная торговая комиссия отказались от комментариев.
По данным Appfigures, веб-сайта по анализу приложений, код Pushwoosh был встроен почти в 8000 приложений в магазинах приложений Google и Apple. На веб-сайте Pushwoosh говорится, что в его базе данных зарегистрировано более 2,3 миллиарда устройств.
Как сказал Джером Дангу, соучредитель Confiant, фирмы, которая отслеживает неправомерное использование данных, собранных в цепочках поставок онлайн-рекламы:
«Pushwoosh собирает пользовательские данные, включая точную геолокацию, в конфиденциальных и правительственных приложениях, что может позволить осуществлять масштабное инвазивное отслеживание. Мы не обнаружили каких-либо явных признаков обмана или злого умысла в деятельности Pushwoosh, что, безусловно, не снижает риск утечки данных приложения в Россию».
Google и Apple отказалась отвечать на вопросы Reuters.
После того, как агентство Reuters подняло вопрос о взаимодействии Pushwoosh с CDC, агентство здравоохранения удалило код из своих приложений, поскольку «компания представляет потенциальную угрозу безопасности».
Как говорится в заявлении CDC:
«CDC считает, что Pushwoosh — это компания, базирующаяся в Вашингтоне, округ Колумбия».
Убеждение было основано на «заявлениях», сделанных компанией-производителем ПО.
Приложения CDC, которые содержали код Pushwoosh, включали основное приложение агентства и приложения, предназначенные для обмена информацией по широкому кругу проблем со здоровьем. Хотя CDC также использовал уведомления компании по вопросам здравоохранения, агентство заявило, что «не делилось данными пользователей с Pushwoosh».
Пентагон сообщил Reuters, что в марте удалил приложение, содержащее Pushwoosh, сославшись на «проблемы безопасности». Правда, не было пояснений, насколько широко приложение, являющееся информационным порталом для использования в Национальном учебном центре (NTC) в Калифорнии, использовалось войсками.
NTC является крупным центром боевой подготовки в пустыне Мохаве для солдат перед развертыванием, а это означает, что утечка данных может выявить предстоящие перемещения войск за границу.
Представитель армии США Брайс Дуби заявил, что армия не пострадала от «потери данных», добавив, что приложение не подключалось к армейской сети.
Некоторые крупные компании и организации, в том числе УЕФА и Unilever, заявили, что приложения для них установили третьи стороны, или они думали, что нанимают американскую компанию.
NRA заявило, что его контракт с компанией истек в прошлом году, и ему «не было известно о каких-либо проблемах».
Лейбористская партия Великобритании не ответила на вопросы Reuters.
По мнению Зака Эдвардса, исследователя безопасности, впервые обнаружившего широкое распространение кода Pushwoosh во время работы в некоммерческой организации Internet Safety Labs:
«Данные, которые собирает Pushwoosh, аналогичны данным, которые могут быть собраны Facebook, Google или Amazon, но разница в том, что все данные Pushwoosh в США отправляются на серверы, контролируемые компанией (Pushwoosh) в России».
В документах регулирующих органов США и в социальных сетях Pushwoosh никогда не упоминает о своих связях с Россией. Компания указывает в Твиттере «Вашингтон, округ Колумбия» как своё местонахождение, и утверждает, что адрес её офиса - дом в пригороде Кенсингтона, штат Мэриленд. Компания также указывает адрес Мэриленда в своих профилях на Facebook и LinkedIn.
Кенсингтонский дом — это дом русского друга Конева, который разговаривал с журналистом Reuters на условиях анонимности [вот тут можно громко посмеяться про анонимность - прим. Об этом не говорят]. Он сказал, что не имеет никакого отношения к Pushwoosh и только согласился разрешить Коневу использовать его адрес для получения почты.
Конев сказал, что Pushwoosh начал использовать адрес в Мэриленде для «получения деловой корреспонденции» во время пандемии коронавируса.
Он сказал, что теперь управляет Pushwoosh из Таиланда, но не предоставил никаких доказательств того, что он зарегистрирован там.
Pushwoosh ни разу не упомянул в восьми ежегодных отчетных документах в американском штате Делавэр, где он зарегистрирован, что компания базируется в России, что может нарушить закон штата.
Вместо этого Pushwoosh указала адрес в Юнион-Сити, штат Калифорния, в качестве своего основного места работы с 2014 по 2016 год. По словам официальных лиц Юнион-Сити, этого адреса не существует.
Pushwoosh использовал учетные записи LinkedIn, предположительно принадлежащие двум руководителям из Вашингтона, округ Колумбия, по имени Мэри Браун и Ноа О'Ши, чтобы нарастить продажи. Но таких людей, как Браун и О'Ши не существует.
Конев признал, что учётные записи не были подлинными. Он сказал, что Pushwoosh наняла маркетинговое агентство в 2018 году для их создания в попытке использовать социальные сети для продажи Pushwoosh, а не для маскировки российского происхождения компании.
Что мы тут имеем? Только то, что компания из России попала в поле зрения на Западе из-за своей успешности и на неё тут же навешали кучу ярлыков из раздела "работает на государство и спецслужбы".
И ещё - то, что позволено Юпитеру, не позволено быку. По мнению американцев. Это про сбор персональных данных. Американским компаниям собирать данные можно, потому что они хранятся в США и то, что доступ к ним могут получить американские спецслужбы ничего такого тут нет. А почти аналогичная ситуация с возможным получением доступа к данным российских спецслужб - это очень плохо.
