Cyberbezpieczeństwo
Rosyjska firma udawała spółkę z USA. Jej kod był w rządowych aplikacjach
Firma Pushwoosh stworzyła tysiące aplikacji mobilnych m.in. dla organów administracji USA. Spółka podawała się za podmiot amerykański, tymczasem… to rosyjska firma z Nowosybirska. Jak to możliwe, że zdołała wprowadzić w błąd rząd Stanów Zjednoczonych?
Sensacyjne doniesienia opublikowała agencja Reutera, według której firma Pushwoosh to producent tysięcy aplikacji dostępnych w popularnych sklepach z oprogramowaniem mobilnym – App Store i Google Play.
Pushwoosh to także wydawca aplikacji dla organu amerykańskiej administracji – sieci Centrów Kontroli i Prewencji Chorób (CDC), który po ujawnieniu informacji, że firma, z której usług skorzystano pochodzi z Rosji, stwierdził, iż został wprowadzony przez nią w błąd i był przekonany, że to spółka amerykańska z siedzibą w Waszyngtonie.
W rzeczywistości jednak przedsiębiorstwo zarejestrowane jest w Rosji, w Nowosybirsku. Tam również przetwarza dane z produkowanych przez siebie aplikacji i podlega pod rosyjskie prawo, które zobowiązuje producentów oprogramowania do przekazywania danych na żądanie służb. Pushwoosh w Rosji zatrudnia (ok. 40 osób) i płaci tam podatki – pisze Reuters.
Czytaj też
Co rosyjska firma robi w amerykańskiej administracji?
Pushwoosh według agencji zajmuje się dostarczaniem kodu i wsparcia dla przetwarzania danych w aplikacjach mobilnych, które dzięki temu mogą profilować aktywność użytkowników oprogramowania na smartfony i wysyłać specjalne powiadomienia push.
Firma deklaruje, że nie gromadzi danych wrażliwych, a agencja Reutera podkreśliła, że nie znalazła dowodów na nadużycia wobec procesów przetwarzania danych użytkowników aplikacji tej spółki.
Jej twórca – Max Konew – deklaruje, że jest dumnym Rosjaninem, nigdy też nie próbował maskować pochodzenia swojej firmy, mimo tego, że jak przypomina Reuters, spółka w mediach społecznościowych prezentowała się jako zlokalizowana w USA i amerykańska.
Cytowany w materiale Konew stwierdził, że jego przedsiębiorstwo „nie ma żadnych związków z rosyjskim rządem", a dane przechowuje w USA i Niemczech.
To jednak nie wystarczy, aby zapewnić, że rosyjskie służby nie będą miały do nich dostępu – odnotowuje agencja.
Czytaj też
Gdzie wykryto kod Pushwoosha?
Według Reutersa, kod produkowany przez rosyjską firmę znaleziono w tysiącach aplikacji dostępnych w popularnych sklepach z oprogramowaniem.
To m.in. aplikacje wielkich międzynarodowych firm (takich jak Unilever), organizacji – np. UEFA, stowarzyszeń non-profit, ale i agencji rządowych oraz partii politycznych (jak np. brytyjska Partia Pracy).
Obecność rosyjskiego kodu w aplikacjach produkowanych przez rządowe agencje USA, ale i przez amerykańskie firmy, może naruszać postanowienia Federalnej Komisji Handlu (FTC) dotyczące sankcji wobec Rosji – oceniają niektórzy eksperci, z którymi rozmawiał Reuters.
Czytaj też
Jakie dane gromadzi Pushwoosh?
To m.in. precyzyjne dane geolokalizacyjne, które mogą pozwolić na inwazyjną inwigilację – ocenia cytowany przez Reutersa współzałożyciel firmy Confiant Jerome Dangu.
Po doniesieniach agencji, CDC wycofało kod Pushwoosha z siedmiu swoich aplikacji powołując się na względy bezpieczeństwa.
Wcześniej, w marcu tego roku, z korzystania z modułów tej firmy w swoich programach zrezygnowało amerykańskie wojsko, podając te same powody.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].