Армия США пользовалась ПО российской IT-компании Pushwoosh, замаскированной под американскую — Reuters
Один из крупнейших центров боевой подготовки армии США использовал приложение, содержащее код российской IT-компании из Новосибирска под названием Pushwoosh, — сообщает Reuters.
Национальный учебный центр (NTC), который располагается в пустыне Мохаве, используется для тренировки солдат перед развёртыванием на постоянном месте дислокации. Это означает, что утечка данных могла выявить предстоящие перемещения войск США за границу.
В армии США Reuters ответили, что в марте приложение, содержащее код Pushwoosh, было удалено по причине «проблем с безопасностью». Однако не уточняется, насколько широко оно использовалось. Представитель армии США Брайс Дуби заявил, что армия не пострадала от «оперативной потери данных», добавив, что приложение не подключалось к армейской сети.
Согласно документам компании, штаб-квартира Pushwoosh находится в Новосибирске, где она зарегистрирована как компания-разработчик программного обеспечения, которая также занимается обработкой данных. В компании работает около 40 человек, а выручка в прошлом году составила 143 270 000 рублей (2,4 миллиона долларов). Pushwoosh зарегистрирована в качестве российского налогоплательщика.
Однако в документах регулирующих органов США и в социальных сетях Pushwoosh никогда не упоминает о своих связях с Россией. Компания указывает Вашингтон, округ Колумбия в качестве своего местонахождения в Twitter и заявляет, что адрес её офиса — дом в пригороде Кенсингтона, штат Мэриленд. В профиле компании на Facebook и LinkedIn указывается адрес в Мэриленде.
Кенсингтонский дом — это дом друга основателя Pushwoosh Максима Конева, который сказал журналистам, что не имеет никакого отношения к компании и только согласился разрешить Коневу использовать его адрес для получения почты.
Насчёт местоположения офиса компании в Мэриленде Конев сказал, что Pushwoosh начала использовать этот адрес в для «получения деловой корреспонденции» во время пандемии коронавируса. Он добавил, что теперь управляет Pushwoosh из Таиланда, но не предоставил никаких доказательств того, что компания зарегистрирован там, а тайски реестр не содержит компаний с таким названием.
Кроме того, Pushwoosh ни разу не упомянула о том, что она базируется в России, в восьми ежегодных документах в американском штате Делавэр, где она зарегистрирована. Это может нарушать закон штата. Вместо этого Pushwoosh указала адрес в Юнион-Сити, штат Калифорния, в качестве своего основного места работы с 2014 по 2016 год. По словам официальных лиц Юнион-Сити, этого адреса не существует.
Pushwoosh использовал учётные записи LinkedIn, предположительно принадлежащие двум руководителям из Вашингтона, округ Колумбия, по имени Мэри Браун и Ноа О'Ши, чтобы добиваться продаж. Но ни Браун, ни О'Ши не настоящие люди.
В интервью Reuters Конев признал, что указанные им данные не были подлинными. По его словам, Pushwoosh наняла маркетинговое агентство в 2018 году для продажи услуг комании, а не для маскировки российского происхождения.
Кейр Джайлс, эксперт по России из лондонского аналитического центра Chatham House, сказал, что, несмотря на международные санкции в отношении России, значительное число российских компаний по-прежнему ведёт торговлю за границей и собирает личные данные пользователей. По его мнению, учитывая российские законы, «не должно быть сюрпризом, что с прямыми связями или без прямых связей с российскими государственными шпионскими кампаниями фирмы, которые обрабатывают данные, будут стремиться преуменьшить свои российские корни».
Компания Pushwoosh предоставляет поддержку обработки кода и данных для разработчиков программного обеспечения, позволяя им профилировать онлайн-активность пользователей приложений для смартфонов и отправлять индивидуальные push-уведомления с серверов Pushwoosh. На своём веб-сайте Pushwoosh заявляет, что не собирает конфиденциальную информацию.
«Pushwoosh собирает пользовательские данные, включая точную геолокацию в коммерческих и государственных приложениях, что может позволить осуществлять более широкое отслеживание. Хотя мы не обнаружили каких-либо явных признаков обмана или злого умысла в деятельности Pushwoosh, это, безусловно, не снижает риск утечки данных приложений в Россию», — сказал Джером Дангу, соучредитель Confiant, фирмы, которая отслеживает неправомерное использование данных.
Основатель Pushwoosh Макс Конев сообщил, что компания не пыталась скрыть своё российское происхождение. «Я горжусь тем, что я русский, и никогда бы этого не скрывал». Он сказал, что компания «не имеет никакого отношения к российскому правительству» и хранит свои данные в США и Германии. Что, однако, не мешает российским властям вынудить местные компании передать данные о пользователях силовым структурам.
«Данные, которые собирает Pushwoosh, аналогичны данным, которые собирают Facebook, Google или Amazon, но разница в том, что все данные Pushwoosh отправляются на серверы, контролируемые компанией из России», — сказал Зак Эдвардс, исследователь безопасности, впервые обнаруживший широкое распространение кода Pushwoosh.
Код Pushwoosh был установлен в приложениях широкого круга международных компаний, влиятельных некоммерческих и государственных учреждений, от глобальной компании по производству потребительских товаров Unilever Plc и Союза европейских футбольных ассоциаций (УЕФА) до лоббистской организации Национальной стрелковой ассоциации США (NRA) и Лейбористской партии Великобритании. Всего код Pushwoosh использовали порядка 8 тысяч различных приложений, размещённых в интернет-магазинах App Store и Google Pay, а на веб-сайте Pushwoosh говорится, что в его базе данных зарегистрировано более 2,3 миллиардов устройств.
Так, Центры по контролю и профилактике заболеваний (CDC), главное агентство США по борьбе с тяжёлыми заболеваниями, заявили, что их обманули, полагая, что Pushwoosh базируется в столице США. Узнав от Reuters о российских корнях компании, CDC удалила программное обеспечение Pushwoosh из семи общедоступных медицинских приложений, предназначенных как для врачей, так и для пациентов.
Некоторые крупные компании и организации, в том числе УЕФА и Unilever, заявили, что приложения для них установили третьи стороны, или они думали, что нанимают американскую компанию.
Эксперты считают, что полулегальный бизнес Pushwoosh с государственными учреждениями США и частными компаниями может нарушать договорные отношения и законы Федеральной торговой комиссии США (FTC) и привести к санкциям против российской IT-компании.
Ранее власти США призвали крупные американские банки сотрудничать со стратегическими предприятиями России, несмотря на американские и европейские санкции. В первую очередь предложение касалось Газпрома, Уралкалия и ФосАгро.