Скандал с компанией Pushwoosh
Тысячи приложений для смартфонов в интернет-магазинах Apple и Google содержат компьютерный код, разработанный технологической компанией Pushwoosh, которая позиционирует себя как американская, но на самом деле является российской.
Такой вывод сделало агентство Reuters, проведя собственное расследование.
Центры по контролю и профилактике заболеваний (CDC) заявили, что их обманули, сообщив, что Pushwoosh базируется в столице США. Узнав от Reuters о российских корнях компании, они удалили код Pushwoosh из семи общедоступных приложений, сославшись на соображения безопасности.
Армия США заявила, что в марте удалила приложение, содержащее код Pushwoosh, из тех же опасений. Этим приложением пользовались солдаты одной из главных учебных баз.
Российские корни американской компании
Согласно документам Pushwoosh, опубликованным в России, ее штаб-квартира находится в Новосибирске, где она зарегистрирована как компания-разработчик программного обеспечения (ПО), которая также занимается обработкой данных. В компании работают около 40 человек, а выручка в прошлом году составила $2,4 млн. Pushwoosh официально зарегистрирована и платит налоги в России.
Однако в социальных сетях и документах регулирующих органов США она представлена как американская компания, базирующаяся в разное время в Калифорнии, Мэриленде и Вашингтоне, округ Колумбия.
Pushwoosh предоставляет поддержку обработки кода и данных для разработчиков ПО, позволяя им профилировать онлайн-активность пользователей приложений для смартфонов и отправлять индивидуальные push-уведомления с серверов Pushwoosh.
На своем веб-сайте Pushwoosh заявляет, что не собирает конфиденциальную информацию, а Reuters не обнаружило доказательств того, что Pushwoosh неправильно обращалась с данными пользователей. Российские власти, однако, давно заставили местные компании передать данные о пользователях национальным службам безопасности.
Основатель Pushwoosh Макс Конев ответил Reuters в сентябре, что компания не пыталась скрыть свое российское происхождение. «Я горжусь тем, что я русский, и никогда бы этого не скрывал».
Он сказал, что компания «не имеет никакого отношения к российскому правительству» и хранит базы данных в США и Германии.
Однако эксперты по кибербезопасности заявили, что хранение данных за границей не помешает российским спецслужбам заставить российскую фирму предоставить доступ к этим данным.
Чем опасно использование российского ПО
Код Pushwoosh был установлен в приложениях широкого круга международных компаний, влиятельных некоммерческих и государственных учреждений — от глобальной компании по производству потребительских товаров Unilever и Союза европейских футбольных ассоциаций (УЕФА) до политически влиятельной американской Национальной стрелковой ассоциации (NRA) и Лейбористской партии Великобритании.
Бизнес Pushwoosh с государственными учреждениями США и частными компаниями может нарушать требования Федеральной торговой комиссии США (FTC), сообщили 10 экспертов по правовым вопросам.
Сервис Pushwoosh
Джессика Рич, бывший директор Бюро по защите прав потребителей FTC, заявила, что «дело такого типа подпадает под компетенцию FTC», которая расправляется с несправедливыми или вводящими в заблуждение действиями, затрагивающими потребителей в США.
Эксперты по санкциям заявили, что Вашингтон может принять решение о введении санкций в отношении Pushwoosh и обладает широкими полномочиями для этого.
По данным Appfigures, веб-сайта по анализу приложений, код Pushwoosh был встроен почти в 8 тыс. приложений в магазинах приложений Google и Apple. На веб-сайте Pushwoosh говорится, что в ее базе данных зарегистрировано более 2,3 млрд устройств.
«Pushwoosh собирает пользовательские данные, включая точную геолокацию, в конфиденциальных и правительственных приложениях, что может позволить осуществлять тайное масштабное отслеживание», – сказал Джером Дангу, соучредитель Confiant, которая отслеживает неправомерное использование данных, собираемых в цепочках онлайн-рекламы.
В Google сказали, что конфиденциальность находится в центре «огромного внимания» компании, но не ответили на вопросы о Pushwoosh. В Apple заявили, что серьезно относятся к доверию и безопасности пользователей, но также отказались отвечать на вопросы.
Кейр Джайлс, эксперт по России из лондонского аналитического центра Chatham House, сказал, что, учитывая российские законы о внутренней безопасности, «не должно быть сюрпризом, что с прямыми связями или без прямых связей с российскими государственными шпионскими кампаниями фирмы, которые обрабатывают данные, будут стремиться скрывать свои российские корни».
«Данные, которые собирает Pushwoosh, аналогичны данным, которые могут быть собраны Facebook, Google или Amazon, но разница в том, что все данные Pushwoosh в США отправляются на серверы, контролируемые компанией Pushwoosh в России», – сказал Зак Эдвардс, исследователь безопасности.
Поддельный адрес, поддельные профили
В документах регулирующих органов США и в социальных сетях Pushwoosh никогда не упоминает о своих связях с Россией. Компания указывает «Вашингтон, округ Колумбия» в качестве своего местонахождения в твиттере и заявляет, что адрес ее офиса – дом в пригороде Кенсингтона, штат Мэриленд. Она также указывает этот адрес в своих профилях на Facebook и LinkedIn.
На самом деле кенсингтонский дом – это дом русского друга Конева, который разговаривал с журналистом Reuters на условиях анонимности. Он сказал, что не имеет никакого отношения к Pushwoosh и только согласился разрешить Коневу использовать его адрес для получения почты.
Конев сообщил, что Pushwoosh начала использовать адрес в Мэриленде для «получения деловой корреспонденции» во время пандемии коронавируса. Он добавил, что теперь управляет Pushwoosh из Таиланда, но не предоставил доказательств того, что она зарегистрирована там. Агентство Reuters не смогло найти компанию с таким названием в тайском реестре компаний.
Pushwoosh ни разу не упомянула о том, что базируется в России, в восьми ежегодных документах в американском штате Делавэр. Вместо этого она указала адрес в Юнион-Сити, штат Калифорния, в качестве своего основного места работы с 2014 по 2016 год. По словам официальных лиц Юнион-Сити, этого адреса не существует.
Pushwoosh использовала учетные записи LinkedIn, предположительно принадлежащие двум ее руководителям по имени Мэри Браун и Ноа О'Ши. Но ни Браун, ни О'Ши – не настоящие люди, выяснило Reuters.
Фото якобы Брауна на самом деле является фото австрийского учителя танцев. Его сделал московский фотограф, который сказал, что понятия не имеет, как оно оказалось на сайте.
Конев признал, что аккаунты не были подлинными. Он сказал, что в 2018 году Pushwoosh наняла маркетинговое агентство для их создания в попытке использовать социальные сети для продаж Pushwoosh, а не для маскировки российского происхождения компании.
В LinkedIn заявили, что удалили учетные записи после того, как получили предупреждение от Reuters.