A empresa de software russa Pushwoosh disfarçada de “americana” encontra seu caminho para as forças armadas dos EUA

Os militares dos EUA estavam usando um aplicativo com código desenvolvido pela Pushwoosh para um aplicativo usado pelo National Training Center.

Londres/Washington:

Milhares de aplicativos para smartphones nas lojas online da Apple e do Google contêm código de computador desenvolvido por uma empresa de tecnologia, a Pushwoosh, que afirma ter sede nos Estados Unidos, mas na verdade é russa, descobriu a Reuters.

Os Centros de Controle e Prevenção de Doenças (CDC), a principal agência dos EUA para combater as principais ameaças à saúde, disseram que foram enganados ao acreditar que Pushwoosh estava baseado na capital dos EUA. Depois de descobrir suas raízes russas pela Reuters, ele removeu o software Pushwoosh de sete aplicativos voltados ao público, alegando segurança.

Os militares dos EUA disseram que removeram um aplicativo contendo o código Pushwoosh em março devido às mesmas preocupações. Este aplicativo foi utilizado pelos militares de uma das principais bases de treinamento de combate do país.

De acordo com documentos da empresa arquivados publicamente na Rússia e analisados ​​pela Reuters, a Pushwoosh está sediada na cidade siberiana de Novosibirsk, onde está registrada como uma empresa de software que também faz processamento de dados. Ela emprega cerca de 40 pessoas e teve um faturamento de 143.270.000 rublos (US$ 2,4 milhões) no ano passado. Pushwoosh está registrado no governo russo para pagar impostos na Rússia.

Nas mídias sociais e em documentos regulatórios dos EUA, no entanto, ela se apresenta como uma empresa americana, com sede em vários momentos na Califórnia, Maryland e Washington, DC, apurou a Reuters.

O Pushwoosh fornece suporte de código e processamento de dados para desenvolvedores de software, permitindo que eles criem o perfil da atividade online dos usuários de aplicativos de smartphones e enviem notificações push personalizadas dos servidores Pushwoosh.

Em seu site, a Pushwoosh diz que não coleta informações confidenciais, e a Reuters não encontrou nenhuma evidência de que a Pushwoosh manipulou mal os dados do usuário. As autoridades russas, no entanto, forçaram as empresas locais a entregar os dados dos usuários às agências de segurança nacional.

O fundador da Pushwoosh, Max Konev, disse à Reuters em um e-mail de setembro que a empresa não fez nenhuma tentativa de esconder suas origens russas. “Tenho orgulho de ser russo e nunca esconderia isso.”

Ele disse que a empresa “não tem nenhuma conexão com o governo russo de qualquer tipo” e armazena seus dados nos Estados Unidos e na Alemanha.

Especialistas em segurança cibernética disseram que armazenar os dados no exterior, no entanto, não impediria as agências de inteligência russas de forçar uma empresa russa a desistir do acesso a esses dados.

A Rússia, cujos laços com o Ocidente se deterioraram desde a tomada da península da Crimeia em 2014 e a invasão da Ucrânia este ano, é líder mundial em hacking e espionagem cibernética, espionando governos e indústrias estrangeiras para buscar vantagem competitiva, de acordo com a Western funcionários.

Enorme banco de dados

O código Pushwoosh foi instalado nos aplicativos de uma ampla gama de corporações internacionais, agências influentes sem fins lucrativos e governamentais, empresa global de bens de consumo Unilever Plc e Union of Associations European Football Associations (UEFA) para o poderoso lobby americano de armas de fogo, o National Rifle. Association (NRA) e o Partido Trabalhista Britânico.

As negociações de Pushwoosh com agências governamentais e empresas privadas dos EUA podem violar as leis contratuais e a Comissão Federal de Comércio dos EUA (FTC) ou desencadear penalidades, disseram 10 especialistas jurídicos à Reuters. O FBI, o Tesouro dos EUA e a FTC se recusaram a comentar.

Jessica Rich, ex-diretora do Departamento de Proteção ao Consumidor da FTC, disse que “esse tipo de caso cai diretamente sob a autoridade da FTC”, que reprime práticas injustas ou enganosas que afetam os consumidores americanos.

Washington pode optar por impor sanções a Pushwoosh e tem amplo poder para fazê-lo, disseram especialistas em sanções, inclusive possivelmente por meio de uma ordem executiva de 2021 que dá aos Estados Unidos o poder de fazê-lo.

O código Pushwoosh foi incorporado em quase 8.000 aplicativos nas lojas de aplicativos do Google e da Apple, de acordo com o Appfigures, um site de inteligência de aplicativos. O site da Pushwoosh diz que tem mais de 2,3 bilhões de dispositivos listados em seu banco de dados.

“O Pushwoosh coleta dados do usuário, incluindo geolocalização precisa, em aplicativos confidenciais e governamentais, o que pode permitir rastreamento invasivo em escala”, disse Jerome Dangu, cofundador da Confiant, uma empresa de rastreamento de uso.

“Não encontramos sinais claros de intenção enganosa ou maliciosa na atividade de Pushwoosh, o que certamente não diminui o risco de vazamento de dados de aplicativos para a Rússia”, acrescentou.

O Google disse que a privacidade é uma “grande preocupação” para a empresa, mas não respondeu aos pedidos de comentários sobre o Pushwoosh. A Apple disse que leva a sério a confiança e a segurança do usuário, mas também se recusou a responder a perguntas.

Keir Giles, um especialista em Rússia do think tank Chatham House, com sede em Londres, disse que, apesar das sanções internacionais contra a Rússia, um “número substancial” de empresas russas ainda negociam no exterior e coletam dados pessoais das pessoas.

Dadas as leis de segurança interna da Rússia, “não deveria ser surpresa que, com ou sem vínculos diretos com as campanhas de espionagem do Estado russo, as empresas que processam dados vão querer minimizar suas raízes russas”, disse ele.

‘Problemas de segurança’

Depois que a Reuters levantou os laços russos de Pushwoosh com o CDC, a agência de saúde removeu o código de seus aplicativos porque “a empresa tem um possível problema de segurança”, disse a porta-voz Kristen Nordlund.

“O CDC acreditava que a Pushwoosh era uma empresa sediada na área de Washington, DC”, disse Nordlund em um comunicado. A crença foi baseada em “representações” feitas pela empresa, disse ela, sem maiores detalhes.

Os aplicativos do CDC contendo o código Pushwoosh incluíam o aplicativo principal da agência e outros configurados para compartilhar informações sobre uma ampla gama de problemas de saúde. Um era para médicos que lidavam com doenças sexualmente transmissíveis. Embora o CDC também tenha usado as notificações da empresa para problemas de saúde como o COVID, a agência disse que “não compartilha dados do usuário com Pushwoosh”.

Os militares disseram à Reuters que removeram um aplicativo contendo Pushwoosh em março, citando “preocupações com a segurança”. Ele não disse até que ponto o aplicativo, que era um portal de informações para uso em seu Centro Nacional de Treinamento (NTC), na Califórnia, foi usado pelas tropas.

O NTC é uma importante instalação de treinamento de combate no deserto de Mojave para soldados antes da implantação, o que significa que uma violação de dados pode revelar os próximos movimentos de tropas no exterior.

O porta-voz do Exército dos EUA, Bryce Dubee, disse que o Exército não experimentou nenhuma “perda operacional de dados”, acrescentando que o aplicativo não se conectou à rede do Exército.

Algumas grandes empresas e organizações, incluindo a UEFA e a Unilever, disseram que terceiros criaram os aplicativos para eles ou acreditavam que estavam contratando uma empresa dos EUA.

“Não temos uma relação direta com o Pushwoosh”, disse a Unilever em comunicado, acrescentando que o Pushwoosh foi removido de um de seus aplicativos “há algum tempo”.

A UEFA disse que seu contrato com Pushwoosh era “com uma empresa americana”. A Uefa se recusou a dizer se estava ciente dos vínculos de Pushwoosh com a Rússia, mas disse que estava revisando seu relacionamento com a empresa depois de ser contatada pela Reuters.

A NRA disse que seu contrato com a empresa terminou no ano passado e que “não estava ciente de nenhum problema”.

O Partido Trabalhista britânico não respondeu aos pedidos de comentários.

“Os dados coletados pelo Pushwoosh são semelhantes aos dados que podem ser coletados pelo Facebook, Google ou Amazon, mas a diferença é que todos os dados do Pushwoosh nos Estados Unidos são enviados para servidores controlados por uma empresa (Pushwoosh) na Rússia”, disse Zach Edwards. , um pesquisador de segurança, que detectou pela primeira vez a prevalência do código Pushwoosh enquanto trabalhava para a organização sem fins lucrativos Internet Safety Labs.

Roskomnadzor, regulador de comunicações da Rússia, não respondeu a um pedido de comentário da Reuters.

Endereço falso, perfis falsos

Nos documentos regulatórios dos EUA e nas mídias sociais, a Pushwoosh nunca menciona seus laços com a Rússia. A empresa lista “Washington, DC” como um local no Twitter e afirma que o endereço de seu escritório é uma casa no subúrbio de Kensington, Maryland, de acordo com seus últimos registros da empresa nos EUA enviados ao Secretário de Estado de Delaware. Ele também lista o endereço de Maryland em seus perfis do Facebook e LinkedIn.

A casa de Kensington é a casa de um amigo russo de Konev, que falou com um repórter da Reuters sob condição de anonimato. Ele disse que não tinha nada a ver com Pushwoosh e apenas concordou em permitir que Konev usasse seu endereço para receber correspondência.

Konev disse que Pushwoosh começou a usar o endereço de Maryland para “receber correspondência comercial” durante a pandemia de coronavírus.

Ele disse que agora opera o Pushwoosh da Tailândia, mas não forneceu nenhuma evidência de que está registrado lá. A Reuters não conseguiu encontrar uma empresa com esse nome no Registro de Empresas da Tailândia.

Pushwoosh nunca mencionou que estava baseado na Rússia em oito registros anuais no estado americano de Delaware, onde está registrado, uma omissão que poderia violar a lei estadual.

Em vez disso, Pushwoosh listou um endereço em Union City, Califórnia, como seu principal local de negócios de 2014 a 2016. Esse endereço não existe, de acordo com funcionários de Union City.

Pushwoosh usou contas do LinkedIn supostamente pertencentes a dois executivos de Washington, DC, chamados Mary Brown e Noah O’Shea, para solicitar vendas. Mas nem Brown nem O’Shea são pessoas reais, descobriu a Reuters.

A que pertencia a Brown era na verdade a de uma professora de dança residente na Áustria, tirada por um fotógrafo em Moscou, que disse à Reuters que não tinha ideia de como foi parar no site.

Konev reconheceu que as contas não eram autênticas. Ele disse que a Pushwoosh contratou uma agência de marketing em 2018 para montá-la com o objetivo de usar a mídia social para vender a Pushwoosh, não para esconder as origens russas da empresa.

O LinkedIn disse que excluiu as contas após ser alertado pela Reuters.

(Exceto pelo título, esta história não foi editada pela equipe da NDTV e é publicada a partir de um feed distribuído.)

Vídeo em Destaque do Dia

Polícia de Delhi prende homem que assassinou sua parceira e cortou seu corpo em 35 pedaços