A empresa de software russa Pushwoosh disfarçada de “americana” encontra seu caminho para as forças armadas dos EUA

Os militares dos EUA estavam usando um aplicativo com código desenvolvido pela Pushwoosh para um aplicativo usado pelo Centro Nacional de Treinamento.

Londres/Washington:

Milhares de aplicativos para smartphones nas lojas online da Apple e do Google contêm códigos de computador desenvolvidos por uma empresa de tecnologia, a Pushwoosh, que afirma ter sede nos Estados Unidos, mas na verdade é russa, descobriu a Reuters.

Os Centros de Controle e Prevenção de Doenças (CDC), a principal agência dos EUA para enfrentar as principais ameaças à saúde, disseram que foram enganados ao acreditar que Pushwoosh estava sediada na capital dos EUA. Depois de aprender suas raízes russas da Reuters, ele removeu o software Pushwoosh de sete aplicativos voltados para o público, citando a segurança.

Os militares dos EUA disseram que removeram um aplicativo contendo o código Pushwoosh em março devido às mesmas preocupações. Este aplicativo foi utilizado pelos soldados de uma das principais bases de treinamento de combate do país.

De acordo com documentos da empresa arquivados publicamente na Rússia e revisados ​​pela Reuters, a Pushwoosh está sediada na cidade siberiana de Novosibirsk, onde está registrada como uma empresa de software que também faz processamento de dados. Emprega cerca de 40 pessoas e teve um faturamento de 143.270.000 rublos (US$ 2,4 milhões) no ano passado. Pushwoosh está registrado no governo russo para pagar impostos na Rússia.

Nas redes sociais e nos documentos regulatórios dos EUA, no entanto, ela se apresenta como uma empresa americana, com sede em vários momentos na Califórnia, Maryland e Washington, DC, apurou a Reuters.

O Pushwoosh fornece suporte a código e processamento de dados para desenvolvedores de software, permitindo que eles registrem a atividade online dos usuários de aplicativos de smartphone e enviem notificações push personalizadas dos servidores Pushwoosh.

Em seu site, a Pushwoosh diz que não coleta informações confidenciais e a Reuters não encontrou evidências de que a Pushwoosh tenha manipulado incorretamente os dados do usuário. As autoridades russas, no entanto, forçaram as empresas locais a entregar os dados dos usuários às agências de segurança nacional.

O fundador da Pushwoosh, Max Konev, disse à Reuters em um e-mail de setembro que a empresa não tentou esconder suas origens russas. “Tenho orgulho de ser russo e nunca esconderia isso.”

Ele disse que a empresa “não tem nenhuma conexão com o governo russo de qualquer tipo” e armazena seus dados nos Estados Unidos e na Alemanha.

Especialistas em segurança cibernética disseram que armazenar os dados no exterior, no entanto, não impediria as agências de inteligência russas de forçar uma empresa russa a desistir do acesso a esses dados.

A Rússia, cujos laços com o Ocidente azedaram desde a tomada da península da Crimeia em 2014 e a invasão da Ucrânia este ano, é líder mundial em hackers e espionagem cibernética, espionando governos e indústrias estrangeiras para buscar vantagem competitiva, segundo fontes ocidentais. oficiais.

Banco de dados enorme

O código Pushwoosh foi instalado nos aplicativos de uma ampla gama de empresas internacionais, influentes organizações sem fins lucrativos e agências governamentais, a empresa global de bens de consumo Unilever Plc e a União de Associações das Associações Europeias de Futebol (UEFA) até o poderoso lobby americano de armas de fogo, o National Rifle. Association (NRA) e o Partido Trabalhista Britânico.

As negociações de Pushwoosh com agências governamentais e empresas privadas dos EUA podem violar as leis contratuais e a Comissão Federal de Comércio dos EUA (FTC) ou desencadear penalidades, disseram 10 especialistas jurídicos à Reuters. O FBI, o Tesouro dos EUA e a FTC se recusaram a comentar.

Jessica Rich, ex-diretora do Departamento de Proteção ao Consumidor da FTC, disse que “esse tipo de caso está diretamente sob a autoridade da FTC”, que reprime práticas injustas ou enganosas que afetam os consumidores americanos.

Washington pode optar por impor sanções a Pushwoosh e tem amplo poder para fazê-lo, disseram especialistas em sanções, incluindo possivelmente por meio de uma ordem executiva de 2021 que dá aos Estados Unidos o poder de fazê-lo. possibilidade de direcionar o setor de tecnologia russo para atividades cibernéticas maliciosas.

O código Pushwoosh foi incorporado em quase 8.000 aplicativos nas lojas de aplicativos do Google e da Apple, de acordo com o Appfigures, um site de inteligência de aplicativos. O site da Pushwoosh diz que tem mais de 2,3 bilhões de dispositivos listados em seu banco de dados.

“O Pushwoosh coleta dados do usuário, incluindo geolocalização precisa, em aplicativos sensíveis e governamentais, o que pode permitir rastreamento invasivo em escala”, disse Jerome Dangu, cofundador da Confiant, uma empresa de rastreamento de uso.

“Não encontramos sinais claros de intenção enganosa ou maliciosa na atividade de Pushwoosh, o que certamente não diminui o risco de vazamento de dados de aplicativos para a Rússia”, acrescentou.

O Google disse que a privacidade era uma “grande preocupação” para a empresa, mas não respondeu aos pedidos de comentários sobre o Pushwoosh. A Apple disse que leva a sério a confiança e a segurança do usuário, mas também se recusou a responder a perguntas.

Keir Giles, especialista em Rússia do think tank Chatham House, com sede em Londres, disse que, apesar das sanções internacionais contra a Rússia, um “número substancial” de empresas russas ainda está negociando no exterior e coletando dados pessoais de pessoas.

Dadas as leis de segurança interna da Rússia, “não deveria ser surpresa que, com ou sem vínculos diretos com as campanhas de espionagem do Estado russo, as empresas que processam dados vão querer minimizar suas raízes russas”, disse ele.

‘Problemas de segurança’

Depois que a Reuters levantou os laços russos de Pushwoosh com o CDC, a agência de saúde removeu o código de seus aplicativos porque “a empresa tem um possível problema de segurança”, disse a porta-voz Kristen Nordlund.

“O CDC acreditava que a Pushwoosh era uma empresa sediada na área de Washington, DC”, disse Nordlund em comunicado. A crença foi baseada em “representações” feitas pela empresa, disse ela, sem maiores detalhes.

Os aplicativos do CDC contendo o código Pushwoosh incluíam o aplicativo principal da agência e outros configurados para compartilhar informações sobre uma ampla gama de problemas de saúde. Um era para médicos que lidavam com doenças sexualmente transmissíveis. Embora o CDC também tenha usado as notificações da empresa para problemas de saúde como o COVID, a agência disse que “não compartilha dados de usuários com o Pushwoosh”.

Os militares disseram à Reuters que removeram um aplicativo contendo o Pushwoosh em março, citando “preocupações de segurança”. Ele não disse até que ponto o aplicativo, que era um portal de informações para uso em seu Centro Nacional de Treinamento (NTC) na Califórnia, foi usado por tropas.

O NTC é uma importante instalação de treinamento de combate no deserto de Mojave para soldados antes da implantação, o que significa que uma violação de dados pode revelar os próximos movimentos de tropas no exterior.

O porta-voz do Exército dos EUA, Bryce Dubee, disse que o Exército não experimentou nenhuma “perda operacional de dados”, acrescentando que o aplicativo não se conectou à rede do Exército.

Algumas grandes empresas e organizações, incluindo UEFA e Unilever, disseram que terceiros configuraram os aplicativos para eles ou acreditavam que estavam contratando uma empresa americana.

“Não temos um relacionamento direto com o Pushwoosh”, disse a Unilever em comunicado, acrescentando que o Pushwoosh foi removido de um de seus aplicativos “há algum tempo”.

A Uefa disse que seu contrato com a Pushwoosh era “com uma empresa americana”. A Uefa se recusou a dizer se estava ciente das ligações russas de Pushwoosh, mas disse que está revisando seu relacionamento com a empresa após ser contatada pela Reuters.

A NRA disse que seu contrato com a empresa terminou no ano passado e “não estava ciente de nenhum problema”.

O Partido Trabalhista britânico não respondeu aos pedidos de comentários.

“Os dados coletados pelo Pushwoosh são semelhantes aos dados que podem ser coletados pelo Facebook, Google ou Amazon, mas a diferença é que todos os dados do Pushwoosh nos Estados Unidos são enviados para servidores controlados por uma empresa (Pushwoosh) na Rússia”, disse Zach. Edwards. , um pesquisador de segurança, que primeiro detectou a prevalência do código Pushwoosh enquanto trabalhava para os Laboratórios de Segurança da Internet sem fins lucrativos.

Roskomnadzor, regulador de comunicações da Rússia, não respondeu a um pedido de comentário da Reuters.

Endereço falso, perfis falsos

Nos documentos regulatórios dos EUA e nas mídias sociais, Pushwoosh nunca menciona seus laços com a Rússia. A empresa lista “Washington, DC” como um local no Twitter e afirma que o endereço de seu escritório é uma casa no subúrbio de Kensington, Maryland, de acordo com seus últimos registros da empresa nos EUA enviados ao secretário de Estado de Delaware. Ele também lista o endereço de Maryland em seus perfis do Facebook e LinkedIn.

A casa de Kensington é a casa de um amigo russo de Konev que falou com um repórter da Reuters sob condição de anonimato. Ele disse que não tinha nada a ver com Pushwoosh e apenas concordou em permitir que Konev usasse seu endereço para receber correspondência.

Konev disse que Pushwoosh começou a usar o endereço de Maryland para “receber correspondência comercial” durante a pandemia de coronavírus.

Ele disse que agora opera Pushwoosh da Tailândia, mas não forneceu evidências de que está registrado lá. A Reuters não conseguiu encontrar uma empresa com esse nome no Registro de Empresas da Tailândia.

Pushwoosh nunca mencionou que estava baseado na Rússia em oito registros anuais no estado americano de Delaware, onde está registrado, uma omissão que poderia violar a lei estadual.

Em vez disso, Pushwoosh listou um endereço em Union City, Califórnia, como seu principal local de negócios de 2014 a 2016. Esse endereço não existe, de acordo com funcionários de Union City.

Pushwoosh usou contas do LinkedIn supostamente pertencentes a dois executivos de Washington, DC chamados Mary Brown e Noah O’Shea para solicitar vendas. Mas nem Brown nem O’Shea são pessoas reais, descobriu a Reuters.

A que pertencia a Brown era na verdade a de uma professora de dança da Áustria, tirada por um fotógrafo em Moscou, que disse à Reuters que não tinha ideia de como ela foi parar no site.

Konev reconheceu que as contas não eram autênticas. Ele disse que a Pushwoosh contratou uma agência de marketing em 2018 para configurá-los com o objetivo de usar as mídias sociais para vender o Pushwoosh, não para esconder as origens russas da empresa.

O LinkedIn disse que excluiu as contas depois de ser alertado pela Reuters.

(Exceto pelo título, esta história não foi editada pela equipe da NDTV e é publicada a partir de um feed sindicado.)

Vídeo em destaque do dia

Joe Biden e Xi Jinping se reúnem na Indonésia antes da cúpula do G20