Однак у соціальних мережах і в документах для регуляторних органів США вона представляє себе як американську компанію, яка в різний час базувалася в Каліфорнії, Меріленді та Вашингтоні, округ Колумбія, виявив Reuters.
Pushwoosh забезпечує підтримку обробки коду та даних для розробників програмного забезпечення, дозволяючи їм профілювати онлайн-активність користувачів додатків для смартфонів і надсилати індивідуальні push-повідомлення з серверів Pushwoosh.
На своєму веб-сайті Pushwoosh стверджує, що не збирає конфіденційну інформацію, і Reuters не знайшло жодних доказів того, що Pushwoosh неправильно поводився з даними користувачів. Однак російська влада змусила місцеві компанії передавати дані користувачів внутрішнім службам безпеки .
Засновник Pushwoosh Макс Конєв повідомив Reuters у вересневому електронному листі, що компанія не намагалася приховати своє російське походження. «Я пишаюся тим, що я росіянин, і ніколи б не приховував цього».
За його словами, компанія «не має жодного зв’язку з російським урядом» і зберігає свої дані в США та Німеччині.
Однак експерти з кібербезпеки заявили, що зберігання даних за кордоном не завадить російським спецслужбам змусити російську фірму надати доступ до цих даних.
Згідно з даними, Росія, чиї зв’язки із Заходом погіршилися після захоплення нею Кримського півострова в 2014 році та вторгнення в Україну цього року, є світовим лідером у хакерстві та кібершпигунстві, шпигунстві за іноземними урядами та галузями економіки з метою отримання конкурентної переваги. Західні чиновники.
Код Pushwoosh було встановлено в додатках багатьох міжнародних компаній, впливових некомерційних організацій і державних установ від глобальної компанії споживчих товарів Unilever Plc (ULVR.L) і Союзу європейських футбольних асоціацій (УЄФА) до політично сильної зброї США. лобі, Національна стрілецька асоціація (NRA) і Лейбористська партія Великобританії.
Ділова діяльність Pushwoosh з урядовими установами США та приватними компаніями може порушити закони про контракти та Федеральну торгову комісію США (FTC) або спричинити санкції, заявили Reuters 10 юридичних експертів. ФБР, Міністерство фінансів США та FTC відмовилися від коментарів.
Джессіка Річ, колишній директор Бюро захисту прав споживачів Федеральної торгової комісії США (FTC), сказала, що «такі випадки належать до повноважень Федеральної торгової комісії», яка припиняє несправедливі або оманливі дії, що впливають на споживачів у США.
Експерти з питань санкцій заявили, що Вашингтон може вирішити накласти санкції на Pushwoosh і має на це широкі повноваження, в тому числі, можливо, через указ від 2021 року, який дає Сполученим Штатам можливість атакувати технологічний сектор Росії через зловмисну кіберактивність.
Код Pushwoosh вбудовано майже в 8000 додатків у магазинах додатків Google і Apple, згідно з Appfigures, веб-сайтом для аналізу додатків. Веб-сайт Pushwoosh повідомляє, що в його базі даних перераховано понад 2,3 мільярда пристроїв.
«Pushwoosh збирає дані користувачів, включаючи точне геолокацію, у конфіденційних і державних додатках, що може дозволити масштабне відстеження», — сказав Джером Дангу, співзасновник Confiant, фірми, яка відстежує зловживання даними, зібраними в ланцюгах поставок онлайн-реклами.
«Ми не виявили жодних явних ознак обману чи зловмисного наміру в діяльності Pushwoosh, що, безумовно, не зменшує ризик витоку даних додатків до Росії», — додав він.
Google заявив, що конфіденційність є «великою увагою» для компанії, але не відповів на запити про коментарі щодо Pushwoosh. Apple заявила, що серйозно ставиться до довіри та безпеки користувачів, але так само відмовилася відповідати на запитання.
Кір Джайлз, експерт з Росії в лондонському аналітичному центрі Chatham House, сказав, що незважаючи на міжнародні санкції проти Росії, «значна кількість» російських компаній все ще торгують за кордоном і збирають особисті дані людей.
Враховуючи російські закони про внутрішню безпеку, «не дивно, що з прямими зв’язками з російськими державними шпигунськими кампаніями або без них фірми, які обробляють дані, прагнуть применшити своє російське коріння», – сказав він.
"ПИТАННЯ БЕЗПЕКИ"
Після того, як Reuters підняло питання про російські зв’язки Pushwoosh із CDC, агентство охорони здоров’я видалило код зі своїх додатків, оскільки «компанія представляє потенційну загрозу безпеці», заявила прес-секретар Крістен Нордлунд.
«CDC вважав, що Pushwoosh була компанією, розташованою в районі Вашингтона, округ Колумбія», — йдеться в заяві Нордлунда. За її словами, це переконання ґрунтувалося на «заявах», зроблених компанією, не уточнюючи подробиць.
Додатки CDC, які містили код Pushwoosh, включали головний додаток агентства та інші, налаштовані для обміну інформацією про широкий спектр проблем зі здоров’ям.
Один був для лікарів, які лікують захворювання, що передаються статевим шляхом. Хоча CDC також використовував сповіщення компанії щодо питань охорони здоров’я, таких як COVID, агентство заявило, що «не передавало дані користувачів Pushwoosh».
Армія повідомила Reuters, що видалила додаток, що містить Pushwoosh у березні, пославшись на «проблеми безпеки». У ньому не повідомляється, наскільки широко цей додаток, який був інформаційним порталом для використання в Національному навчальному центрі (NTC) у Каліфорнії, використовувався військами.
NTC є головним бойовим навчальним центром у пустелі Мохаве для солдатів перед розгортанням, а це означає, що витік даних там може виявити майбутні переміщення військ за кордон.
Представник армії США Брайс Дубі заявив, що армія не зазнала «операційної втрати даних», додавши, що додаток не підключився до армійської мережі.
Деякі великі компанії та організації, включно з УЄФА та Unilever, заявили, що треті сторони налаштували для них додатки або вони думали, що наймають американську компанію.
«Ми не маємо прямих стосунків з Pushwoosh», — йдеться в заяві Unilever, додаючи, що Pushwoosh було видалено з одного з додатків «деякий час тому».
УЄФА заявив, що його контракт з Pushwoosh укладено «з американською компанією». УЄФА відмовився сказати, чи знає він про зв'язки Pushwoosh з Росією, але заявив, що переглядає свої відносини з компанією після того, як з ним зв'язалося Reuters.
NRA заявило, що його контракт із компанією закінчився минулого року, і йому "не відомо про жодні проблеми".
Лейбористська партія Великобританії не відповіла на прохання про коментарі.
«Дані, які збирає Pushwoosh, схожі на дані, які можуть бути зібрані Facebook, Google або Amazon, але різниця полягає в тому, що всі дані Pushwoosh у США надсилаються на сервери, контрольовані компанією (Pushwoosh) у Росії», — сказав Зак Едвардс. , дослідник безпеки, який вперше помітив поширеність коду Pushwoosh, працюючи в некомерційній організації Internet Safety Labs.
Роскомнадзор, державний регулятор зв'язку Росії, не відповів на запит Reuters про коментар.
ФЕЙКОВА АДРЕСА, ФЕЙКОВІ ПРОФІЛІ
У нормативних документах США та в соціальних мережах Pushwoosh ніколи не згадує про зв’язки з Росією. Згідно з останніми документами корпорації США, наданими держсекретарю штату Делавер, компанія вказує «Вашингтон, округ Колумбія» як своє місцезнаходження в Twitter і стверджує, що адресою офісу є будинок у передмісті Кенсінгтона, штат Меріленд. У своїх профілях Facebook і LinkedIn він також вказує адресу штату Меріленд.
Кенсінгтонський будинок є домом російського друга Конєва, який поговорив з журналістом Reuters на умовах анонімності. Він сказав, що не має нічого спільного з Pushwoosh і лише погодився дозволити Конєву використовувати його адресу для отримання пошти.
Конєв сказав, що Pushwoosh почав використовувати адресу в Меріленді для «отримання ділової кореспонденції» під час пандемії коронавірусу.
Він сказав, що зараз керує Pushwoosh з Таїланду, але не надав жодних доказів того, що компанія там зареєстрована. Reuters не вдалося знайти компанію з такою назвою в реєстрі компаній Таїланду.
Pushwoosh ніколи не згадував, що базується в Росії у восьми щорічних заявках у американському штаті Делавер, де він зареєстрований, упущення, яке може порушити закон штату.
Натомість з 2014 по 2016 рік Pushwoosh вказав адресу в Юніон-Сіті, штат Каліфорнія, як основне місце діяльності. За словами представників Юніон-Сіті, цієї адреси не існує.
Pushwoosh використовував облікові записи LinkedIn, які нібито належать двом керівникам із Вашингтона, округ Колумбія, на ім’я Мері Браун і Ной О’Ші, щоб просувати продажі. Але ні Браун, ні О'Ші не є реальними людьми, виявив Reuters.
Фото, яке належало Брауну, насправді було зображенням австрійського вчителя танців, зроблене московським фотографом, яка сказала Reuters, що не має уявлення, як він опинився на сайті.
Конєв визнав, що рахунки несправжні. За його словами, у 2018 році Pushwoosh найняла маркетингове агентство для їх створення, намагаючись використовувати соціальні мережі для продажу Pushwoosh, а не для маскування російського походження компанії.
LinkedIn повідомила, що видалила облікові записи після попередження Reuters.