Cyberbezpieczeństwo

Rosyjska firma udawała spółkę z USA. Jej kod był w rządowych aplikacjach

Fot. Chaozzy Lin / Unsplash

Firma Pushwoosh stworzyła tysiące aplikacji mobilnych m.in. dla organów administracji USA. Spółka podawała się za podmiot amerykański, tymczasem... to rosyjska firma z Nowosybirska. Jak to możliwe, że zdołała wprowadzić w błąd rząd Stanów Zjednoczonych?

Sensacyjne doniesienia opublikowała agencja Reutera, według której firma Pushwoosh to producent tysięcy aplikacji dostępnych w popularnych sklepach z oprogramowaniem mobilnym – App Store i Google Play.

Pushwoosh to także wydawca aplikacji dla organu amerykańskiej administracji – sieci Centrów Kontroli i Prewencji Chorób (CDC), który po ujawnieniu informacji, że firma, z której usług skorzystano pochodzi z Rosji, stwierdził, iż został wprowadzony przez nią w błąd i był przekonany, że to spółka amerykańska z siedzibą w Waszyngtonie.

W rzeczywistości jednak przedsiębiorstwo zarejestrowane jest w Rosji, w Nowosybirsku. Tam również przetwarza dane z produkowanych przez siebie aplikacji i podlega pod rosyjskie prawo, które zobowiązuje producentów oprogramowania do przekazywania danych na żądanie służb. Pushwoosh w Rosji zatrudnia (ok. 40 osób) i płaci tam podatki – pisze Reuters.

Czytaj też

Co rosyjska firma robi w amerykańskiej administracji?

Pushwoosh według agencji zajmuje się dostarczaniem kodu i wsparcia dla przetwarzania danych w aplikacjach mobilnych, które dzięki temu mogą profilować aktywność użytkowników oprogramowania na smartfony i wysyłać specjalne powiadomienia push.

Firma deklaruje, że nie gromadzi danych wrażliwych, a agencja Reutera podkreśliła, że nie znalazła dowodów na nadużycia wobec procesów przetwarzania danych użytkowników aplikacji tej spółki.

Jej twórca – Max Konew – deklaruje, że jest dumnym Rosjaninem, nigdy też nie próbował maskować pochodzenia swojej firmy, mimo tego, że jak przypomina Reuters, spółka w mediach społecznościowych prezentowała się jako zlokalizowana w USA i amerykańska.

Cytowany w materiale Konew stwierdził, że jego przedsiębiorstwo „nie ma żadnych związków z rosyjskim rządem", a dane przechowuje w USA i Niemczech.

To jednak nie wystarczy, aby zapewnić, że rosyjskie służby nie będą miały do nich dostępu – odnotowuje agencja.

Czytaj też

Gdzie wykryto kod Pushwoosha?

Według Reutersa, kod produkowany przez rosyjską firmę znaleziono w tysiącach aplikacji dostępnych w popularnych sklepach z oprogramowaniem.

To m.in. aplikacje wielkich międzynarodowych firm (takich jak Unilever), organizacji – np. UEFA, stowarzyszeń non-profit, ale i agencji rządowych oraz partii politycznych (jak np. brytyjska Partia Pracy).

Obecność rosyjskiego kodu w aplikacjach produkowanych przez rządowe agencje USA, ale i przez amerykańskie firmy, może naruszać postanowienia Federalnej Komisji Handlu (FTC) dotyczące sankcji wobec Rosji – oceniają niektórzy eksperci, z którymi rozmawiał Reuters.

Czytaj też

Jakie dane gromadzi Pushwoosh?

To m.in. precyzyjne dane geolokalizacyjne, które mogą pozwolić na inwazyjną inwigilację – ocenia cytowany przez Reutersa współzałożyciel firmy Confiant Jerome Dangu.

Po doniesieniach agencji, CDC wycofało kod Pushwoosha z siedmiu swoich aplikacji powołując się na względy bezpieczeństwa.

Wcześniej, w marcu tego roku, z korzystania z modułów tej firmy w swoich programach zrezygnowało amerykańskie wojsko, podając te same powody.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także