.
Milhares de aplicativos para smartphones nas lojas online da Apple e do Google contêm códigos de computador desenvolvidos por uma empresa de tecnologia, a Pushwoosh, que se apresenta como sediada nos Estados Unidos, mas na verdade é russa, apurou a Reuters.
Os Centros de Controle e Prevenção de Doenças (CDC), principal agência dos Estados Unidos para combater as principais ameaças à saúde, disseram que foram enganados ao acreditar que Pushwoosh estava sediada na capital dos EUA. Depois de aprender sobre suas raízes russas da Reuters, removeu o software Pushwoosh de sete aplicativos voltados para o público, citando preocupações de segurança.
O Exército dos EUA disse que removeu um aplicativo contendo o código Pushwoosh em março devido às mesmas preocupações. Esse aplicativo foi usado por soldados em uma das principais bases de treinamento de combate do país.
De acordo com documentos da empresa arquivados publicamente na Rússia e revisados pela Reuters, a Pushwoosh está sediada na cidade siberiana de Novosibirsk, onde está registrada como uma empresa de software que também realiza processamento de dados. Ela emprega cerca de 40 pessoas e registrou receita de RUB 143.270.000 (aproximadamente Rs. 20 crore) no ano passado. Pushwoosh está registrado no governo russo para pagar impostos na Rússia.
Nas mídias sociais e nos registros regulatórios dos EUA, no entanto, ela se apresenta como uma empresa americana, com sede em vários momentos na Califórnia, Maryland e Washington, DC, segundo a Reuters.
O Pushwoosh fornece suporte a código e processamento de dados para desenvolvedores de software, permitindo que eles criem o perfil da atividade online de usuários de aplicativos de smartphone e enviem notificações push personalizadas de servidores Pushwoosh.
Em seu site, a Pushwoosh diz que não coleta informações confidenciais, e a Reuters não encontrou evidências de que a Pushwoosh tenha manipulado incorretamente os dados do usuário. As autoridades russas, no entanto, obrigaram as empresas locais a entregar os dados dos usuários às agências de segurança domésticas.
O fundador da Pushwoosh, Max Konev, disse à Reuters em um e-mail de setembro que a empresa não tentou mascarar suas origens russas. “Tenho orgulho de ser russo e nunca esconderia isso.”
Ele disse que a empresa “não tem nenhuma conexão com o governo russo de qualquer tipo” e armazena seus dados nos Estados Unidos e na Alemanha.
Especialistas em segurança cibernética disseram que o armazenamento de dados no exterior não impediria as agências de inteligência russas de obrigar uma empresa russa a ceder acesso a esses dados.
A Rússia, cujos laços com o Ocidente se deterioraram desde a tomada da Península da Crimeia em 2014 e a invasão da Ucrânia este ano, é líder global em hackers e espionagem cibernética, espionando governos e indústrias estrangeiras para buscar vantagem competitiva, segundo o relatório. oficiais ocidentais.
Banco de dados enorme
O código Pushwoosh foi instalado nos aplicativos de uma ampla gama de empresas internacionais, influentes organizações sem fins lucrativos e agências governamentais, desde a empresa global de bens de consumo Unilever Plc e a União das Associações Europeias de Futebol (UEFA) até o politicamente poderoso lobby de armas dos EUA, o National Rifle Association (NRA) e o Partido Trabalhista da Grã-Bretanha.
Os negócios da Pushwoosh com agências governamentais e empresas privadas dos EUA podem violar as leis de contratação e da Comissão Federal de Comércio dos EUA (FTC) ou desencadear sanções, disseram 10 especialistas jurídicos à Reuters. O FBI, o Tesouro dos EUA e a FTC se recusaram a comentar.
Jessica Rich, ex-diretora do Bureau of Consumer Protection da FTC, disse que “esse tipo de caso está dentro da autoridade da FTC”, que reprime práticas injustas ou enganosas que afetam os consumidores dos EUA.
Washington pode optar por impor sanções a Pushwoosh e tem ampla autoridade para fazê-lo, disseram especialistas em sanções, incluindo possivelmente por meio de uma ordem executiva de 2021 que dá aos Estados Unidos a capacidade de atacar o setor de tecnologia da Rússia por atividades cibernéticas maliciosas.
O código Pushwoosh foi incorporado em quase 8.000 aplicativos nas lojas de aplicativos do Google e da Apple, de acordo com o Appfigures, um site de inteligência de aplicativos. O site da Pushwoosh diz que tem mais de 2,3 bilhões de dispositivos listados em seu banco de dados.
“O Pushwoosh coleta dados do usuário, incluindo geolocalização precisa, em aplicativos confidenciais e governamentais, o que pode permitir rastreamento invasivo em escala”, disse Jerome Dangu, cofundador da Confiant, uma empresa que rastreia o uso indevido de dados coletados em cadeias de suprimentos de publicidade online.
“Não encontramos nenhum sinal claro de intenção enganosa ou maliciosa na atividade de Pushwoosh, o que certamente não diminui o risco de vazamento de dados de aplicativos para a Rússia”, acrescentou.
O Google disse que a privacidade era um “grande foco” para a empresa, mas não respondeu aos pedidos de comentários sobre o Pushwoosh. A Apple disse que leva a sério a confiança e a segurança do usuário, mas também se recusou a responder a perguntas.
Keir Giles, especialista em Rússia do think tank londrino Chatham House, disse que, apesar das sanções internacionais à Rússia, um “número substancial” de empresas russas ainda está negociando no exterior e coletando dados pessoais de pessoas.
Dadas as leis de segurança doméstica da Rússia, “não deveria ser uma surpresa que, com ou sem ligações diretas com as campanhas de espionagem russas, as empresas que lidam com dados estejam dispostas a minimizar suas raízes russas”, disse ele.
‘Problemas de segurança’
Depois que a Reuters levantou os vínculos russos de Pushwoosh com o CDC, a agência de saúde removeu o código de seus aplicativos porque “a empresa apresenta uma possível preocupação de segurança”, disse a porta-voz Kristen Nordlund.
“O CDC acreditava que a Pushwoosh era uma empresa sediada na área de Washington, DC”, disse Nordlund em comunicado. A crença foi baseada em “representações” feitas pela empresa, disse ela, sem dar mais detalhes.
Os aplicativos do CDC que continham o código Pushwoosh incluíam o aplicativo principal da agência e outros configurados para compartilhar informações sobre uma ampla gama de problemas de saúde. Uma era para médicos que tratavam de doenças sexualmente transmissíveis. Embora o CDC também tenha usado as notificações da empresa para assuntos de saúde como o COVID, a agência disse que “não compartilhava dados de usuários com o Pushwoosh”.
O Exército disse à Reuters que removeu um aplicativo contendo o Pushwoosh em março, citando “problemas de segurança”. Ele não disse o quão amplamente o aplicativo, que era um portal de informações para uso em seu Centro Nacional de Treinamento (NTC) na Califórnia, foi usado pelas tropas.
O NTC é um importante centro de treinamento de batalha no deserto de Mojave para soldados pré-desdobramento, o que significa que uma violação de dados pode revelar os próximos movimentos de tropas no exterior.
O porta-voz do Exército dos EUA, Bryce Dubee, disse que o Exército não sofreu “perda operacional de dados”, acrescentando que o aplicativo não se conectou à rede do Exército.
Algumas grandes empresas e organizações, incluindo UEFA e Unilever, disseram que terceiros configuraram os aplicativos para eles ou pensaram que estavam contratando uma empresa americana.
“Não temos um relacionamento direto com o Pushwoosh”, disse a Unilever em comunicado, acrescentando que o Pushwoosh foi removido de um de seus aplicativos “há algum tempo”.
A Uefa disse que seu contrato com a Pushwoosh era “com uma empresa americana”. A Uefa se recusou a dizer se sabia dos laços russos de Pushwoosh, mas disse que está revisando seu relacionamento com a empresa após ser contatada pela Reuters.
A NRA disse que seu contrato com a empresa terminou no ano passado e “não estava ciente de nenhum problema”.
O Partido Trabalhista britânico não respondeu aos pedidos de comentários.
“Os dados que o Pushwoosh coleta são semelhantes aos dados que poderiam ser coletados pelo Facebook, Google ou Amazon, mas a diferença é que todos os dados do Pushwoosh nos EUA são enviados para servidores controlados por uma empresa (Pushwoosh) na Rússia”, disse Zach Edwards. , pesquisador de segurança, que primeiro detectou a prevalência do código Pushwoosh enquanto trabalhava para a Internet Safety Labs, uma organização sem fins lucrativos.
Roskomnadzor, o regulador estatal de comunicações da Rússia, não respondeu a um pedido de comentário da Reuters.
Endereço falso, perfis falsos
Nos registros regulatórios dos EUA e nas mídias sociais, a Pushwoosh nunca menciona seus links russos. A empresa lista “Washington, DC” como sua localização no Twitter e afirma que o endereço de seu escritório é uma casa no subúrbio de Kensington, Maryland, de acordo com seus últimos documentos corporativos dos EUA enviados ao secretário de Estado de Delaware. Ele também lista o endereço de Maryland em seus perfis do Facebook e LinkedIn.
A casa de Kensington é a casa de um amigo russo de Konev que falou com um jornalista da Reuters sob condição de anonimato. Ele disse que não tinha nada a ver com Pushwoosh e apenas concordou em permitir que Konev usasse seu endereço para receber correspondência.
Konev disse que Pushwoosh começou a usar o endereço de Maryland para “receber correspondência comercial” durante a pandemia de coronavírus.
Ele disse que agora opera Pushwoosh da Tailândia, mas não forneceu evidências de que está registrado lá. A Reuters não conseguiu encontrar uma empresa com esse nome no registro de empresas tailandesas.
Pushwoosh nunca mencionou que era baseado na Rússia em oito registros anuais no estado americano de Delaware, onde está registrado, uma omissão que poderia violar a lei estadual.
Em vez disso, Pushwoosh listou um endereço em Union City, Califórnia, como seu principal local de negócios de 2014 a 2016. Esse endereço não existe, de acordo com funcionários de Union City.
Pushwoosh usou contas do LinkedIn supostamente pertencentes a dois executivos de Washington, DC chamados Mary Brown e Noah O’Shea para solicitar vendas. Mas nem Brown nem O’Shea são pessoas reais, descobriu a Reuters.
A que pertencia a Brown era na verdade de uma professora de dança da Áustria, tirada por um fotógrafo em Moscou, que disse à Reuters que não tinha ideia de como ela foi parar no site.
Konev reconheceu que as contas não eram genuínas. Ele disse que a Pushwoosh contratou uma agência de marketing em 2018 para criá-los na tentativa de usar as mídias sociais para vender Pushwoosh, não para mascarar as origens russas da empresa.
O LinkedIn disse que removeu as contas depois de ser alertado pela Reuters.
© Thomson Reuters 2022
.
