Četrtek, 17. 11. 2022, 10.55
2 leti, 1 mesec
Padla je maska tajne ruske operacije: segla je v Slovenijo
Družba Pushwoosh razvijalcem aplikacij za pametne telefone ponuja rešitev za sledenje navadam uporabnikov in pošiljanje obvestil. Pushwoosh se je s fiktivnimi naslovi in izmišljenimi direktorji dolgo izdajal za ameriško podjetje, a gre v resnici za korporacijo s sedežem v ruskem mestu Novosibirsk, ki davke plačuje v Rusiji. Programsko kodo podjetja Pushwoosh sta v svojih aplikacijah med drugim uporabljala ameriška vojska in evropska krovna nogometna zveza UEFA. Mi smo jo našli tudi v aplikaciji slovenskega trgovca, ki jo uporablja več kot sto tisoč Slovencev. Po našem opozorilu je trgovec prekinil sodelovanje s Pushwooshem.
Da je Pushwoosh rusko in ne ameriško podjetje, je v ponedeljek razkrila reportaža tiskovne agencije Reuters. Družba, ki ponuja rešitve za dostavo obvestil na pametne telefone (push notification) in sledenje spletnim aktivnostim uporabnikov ter ki se hvali, da ima v svoji bazi podatkov registrirani že več kot dve milijardi mobilnih naprav, je svojo programsko kodo prodala razvijalcem okrog osem tisoč različnih aplikacij za platformi Android in iOS.
Pushwoosh se na spletu hvali, da sodeluje z več kot 80 tisoč strankami, med katerimi so tudi znana imena, kot so Unilever, Deloitte, Coca-Cola, McDonald's.
Med strankami Pushwoosh so bili med drugim vojska Združenih držav Amerike, ameriški center za nadzor nad nalezljivimi boleznimi (CDC), krovna evropska nogometna zveza UEFA, britanska multinacionalka Unilever. Po poročanju Reutersa so nekatere stranke Pushwoosha v preteklih mesecih posumile, da njihov poslovni partner morda ni to, za kar se izdaja, in prekinile sodelovanje, nekatere pa niso vedele, s čim imajo opravka, saj so aplikacije zanje razvijale tretje osebe.
Pushwoosh se je prebil tudi do Slovenije, sledil je takojšen ukrep
Na seznamu okrog osem tisoč aplikacij, ki naj bi uporabljale programsko kodo podjetja Pushwoosh – za zdaj sicer ni znakov, da je bilo z njo karkoli narobe oziroma da so bili v ozadju nečedni nameni – smo odkrili tudi aplikacijo enega od večjih slovenskih trgovcev, ki ima v Sloveniji več kot sto tisoč uporabnikov samo na platformi Android in še več tisoč na platformi iOS.
Z ogledom izvorne kode aplikacije slovenskega trgovca smo potrdili, da je bila v aplikacijo res vključena koda podjetja Pushwoosh:
Pri trgovcu so za Siol.net v sredo pojasnili, da so res sodelovali s podjetjem Pushwoosh, a da so takoj po tem, ko so z naše strani izvedeli za razkritje Reutersa, prenehali uporabljati njihove storitve. Dodali so, da pred tem niso imeli nobenih indicev o zlorabi ali zavajanju podjetja Pushwoosh. "Zelo resno jemljemo transparentno delovanje naših partnerjev in varstvo osebnih podatkov," so dodali.
Nabiralnik v ZDA, zaposleni v Rusiji, šefa izmišljena
Pushwoosh nikjer na spletni strani, vsaj do Reutersove reportaže, ni razkrival podatka, da je v ozadju rusko podjetje z nekaj deset zaposlenimi, ki deluje v Novosibirsku.
Kot sedež podjetja so navajali prestolnico ZDA Washington, glavno pisarno pa naj bi imeli v ameriški zvezni državi Maryland, a preiskava Reutersa je pokazala, da tam živi zgolj prijatelj ustanovitelja Pushwoosha, ki je v njegovem imenu sprejemal pošto in ki mu tudi posoja svoj e-poštni naslov. Pushwoosh je kot enega od uradnih naslovov podjetja navedel tudi hišno številko v kalifornijskem mestu Union City, ki pa ne obstaja.
Obenem si je Pushwoosh izmislil tudi identiteti dveh domnevnih šefov podjetja, piše Reuters. Mary Brown in Noah O'Shea v resnici ne obstajat. Pri prvi so ukradli fotografijo avstrijske plesalke, ki je bila posneta v Moskvi, fotografija drugega pa je bila najverjetneje ustvarjena celo s pomočjo umetne inteligence:
Those fake @LinkedIn accounts purportedly belonged to two D.C.-based executives named Mary Brown and Noah O'Shea. The photo of Brown was of an Austria-based dance teacher, taken by a photographer in Moscow, who had no idea how it ended up on the site. O'shea's was likely faked. pic.twitter.com/uWN6un6cUe
— James Pearson (@pearswick) November 14, 2022
Ustanovitelj Pushwoosha Max Konev se je po poročanju Reutersa branil, da je ponosen na dejstvo, da je Rus, in da ruskega porekla podjetja ni nikoli skrival, vendar pa so pri Reutersu opozorili, da nikjer v uradnih dokumentih, s katerimi se Pushwoosh predstavlja v ZDA, ni omenjeno, da v ozadju dela podjetje iz Novosibirska, ki davke plačuje v Rusiji. To je pomemben podatek, saj je glede na rusko zakonodajo podjetje lahko podvrženi uradni zahtevi za deljenje informacij o uporabnikih storitve Pushwoosh z Moskvo. Za zdaj sicer še ni pokazateljev, da bi se to zgodilo oziroma da bi Pushwoosh podatke delil z rusko vlado, so pojasnili pri Reutersu.
Pri Pushwooshu se nadalje branijo, da podatkov nikoli niso pošiljali v Rusijo, saj da imajo podatkovna centra v Nemčiji in ZDA. Toda preden se je Pushwoosh imenoval Pushwoosh in se izdajal za ameriško podjetje, je bil zelo odkrito Arello Mobile iz Novosibirska, ki pa je podatke vsekakor obdeloval v Rusiji (vir).
19