Reuters’in bulduğuna göre, Apple ve Google’ın çevrimiçi mağazalarındaki binlerce akıllı telefon uygulaması, kendisini Amerika Birleşik Devletleri merkezli olarak sunan, ancak aslında Rusça olan bir teknoloji şirketi olan Pushwoosh tarafından geliştirilen bilgisayar kodu içeriyor.
Amerika Birleşik Devletleri’nin büyük sağlık tehditleriyle mücadele eden ana ajansı olan Hastalık Kontrol ve Önleme Merkezleri (CDC), Pushwoosh’un ABD başkentinde olduğuna inanarak kandırıldığını söyledi. Reuters’ten Rus kökenlerini öğrendikten sonra, güvenlik endişelerini gerekçe göstererek Pushwoosh yazılımını halka açık yedi uygulamadan kaldırdı.
ABD Ordusu, aynı endişeler nedeniyle Mart ayında Pushwoosh kodu içeren bir uygulamayı kaldırdığını söyledi. Bu uygulama, ülkenin ana muharebe eğitim üslerinden birinde askerler tarafından kullanıldı.
Rusya’da halka açık olarak dosyalanan ve Reuters tarafından incelenen şirket belgelerine göre, Pushwoosh’un genel merkezi Sibirya’nın Novosibirsk kasabasında bulunuyor ve burada veri işleme de yürüten bir yazılım şirketi olarak kayıtlı. Yaklaşık 40 kişiyi istihdam ediyor ve geçen yıl 143.270.000 RUB (kabaca 20 crore Rs.) gelir bildirdi. Pushwoosh, Rusya’da vergi ödemek için Rus hükümetine kayıtlıdır.
Bununla birlikte, Reuters’in bulduğuna göre, sosyal medyada ve ABD düzenleyici dosyalarında, kendisini çeşitli zamanlarda California, Maryland ve Washington, DC’de bulunan bir ABD şirketi olarak gösteriyor.
Pushwoosh, yazılım geliştiriciler için kod ve veri işleme desteği sağlayarak akıllı telefon uygulaması kullanıcılarının çevrimiçi etkinliklerini profillemelerine ve Pushwoosh sunucularından özel olarak hazırlanmış anında iletme bildirimleri göndermelerine olanak tanır.
Pushwoosh, web sitesinde hassas bilgileri toplamadığını söylüyor ve Reuters, Pushwoosh’un kullanıcı verilerini yanlış kullandığına dair hiçbir kanıt bulamadı. Ancak Rus makamları, yerel şirketleri kullanıcı verilerini iç güvenlik kurumlarına teslim etmeye zorladı.
Pushwoosh’un kurucusu Max Konev, Eylül ayında bir e-postada Reuters’e, şirketin Rus kökenlerini maskelemeye çalışmadığını söyledi. “Rus olmaktan gurur duyuyorum ve bunu asla saklamam.”
Şirketin “Rus hükümetiyle herhangi bir bağlantısı olmadığını” ve verilerini Amerika Birleşik Devletleri ve Almanya’da sakladığını söyledi.
Siber güvenlik uzmanları, yurtdışında veri depolamanın Rus istihbarat teşkilatlarının bir Rus firmasını bu verilere erişimden vazgeçmeye zorlamasını engellemeyeceğini söyledi.
2014 yılında Kırım Yarımadası’nı ele geçirmesi ve bu yıl Ukrayna’yı işgal etmesinden bu yana Batı ile bağları kötüleşen Rusya, rekabet avantajı elde etmek için yabancı hükümetleri ve endüstrileri gözetleyen, bilgisayar korsanlığı ve siber casuslukta dünya lideridir. Batılı yetkililer.
Büyük veritabanı
Pushwoosh kodu, küresel tüketim malları şirketi Unilever Plc ve Avrupa Futbol Federasyonları Birliği’nden (UEFA) politik olarak güçlü ABD silah lobisi National Rifle’a kadar çok çeşitli uluslararası şirketlerin, etkili kar amacı gütmeyen kuruluşların ve devlet kurumlarının uygulamalarına yüklendi. Derneği (NRA) ve İngiltere’nin İşçi Partisi.
10 hukuk uzmanı Reuters’e verdiği demeçte, Pushwoosh’un ABD devlet kurumları ve özel şirketlerle olan işi, sözleşme ve ABD Federal Ticaret Komisyonu (FTC) yasalarını ihlal edebilir veya yaptırımları tetikleyebilir. FBI, ABD Hazinesi ve FTC yorum yapmayı reddetti.
FTC Tüketici Koruma Bürosu eski müdürü Jessica Rich, “bu tür davalar FTC’nin yetki alanına giriyor” dedi ve bu da ABD’li tüketicileri etkileyen haksız veya aldatıcı uygulamaları çökertti.
Yaptırım uzmanları, Washington’ın Pushwoosh’a yaptırım uygulamayı seçebileceğini ve bunu yapmak için geniş bir yetkiye sahip olduğunu söyledi, buna muhtemelen ABD’ye Rusya’nın teknoloji sektörünü kötü niyetli siber faaliyetler üzerinden hedef alma olanağı veren 2021 yürütme emri dahil.
Bir uygulama zekası web sitesi olan Appfigures’e göre, Pushwoosh kodu Google ve Apple uygulama mağazalarındaki yaklaşık 8.000 uygulamaya yerleştirildi. Pushwoosh’un web sitesi, veritabanında listelenen 2,3 milyardan fazla cihaza sahip olduğunu söylüyor.
Çevrimiçi reklamcılık tedarik zincirlerinde toplanan verilerin kötüye kullanımını izleyen bir firma olan Confiant’ın kurucu ortağı Jerome Dangu, “Pushwoosh, hassas ve resmi uygulamalarda hassas ve resmi uygulamalarda hassas coğrafi konum dahil olmak üzere kullanıcı verilerini topluyor ve bu da ölçekte istilacı izlemeye olanak tanıyor” dedi.
“Pushwoosh’un faaliyetinde, Rusya’ya uygulama verilerinin sızması riskini kesinlikle azaltmayacak açık bir aldatıcı veya kötü niyetli niyet belirtisi bulamadık” diye ekledi.
Google, gizliliğin şirket için “büyük bir odak noktası” olduğunu söyledi, ancak Pushwoosh hakkında yorum taleplerine yanıt vermedi. Apple, kullanıcı güvenini ve güvenliğini ciddiye aldığını ancak benzer şekilde soruları yanıtlamayı reddettiğini söyledi.
Londra düşünce kuruluşu Chatham House’da Rusya uzmanı olan Keir Giles, Rusya’ya yönelik uluslararası yaptırımlara rağmen, “önemli sayıda” Rus şirketinin hala yurtdışında ticaret yaptığını ve insanların kişisel verilerini topladığını söyledi.
Rusya’nın iç güvenlik yasaları göz önüne alındığında, “Rus devlet casusluk kampanyalarıyla doğrudan bağlantısı olsun veya olmasın, verileri işleyen firmaların Rus köklerini oynamaya istekli olmaları şaşırtıcı olmamalı” dedi.
‘Güvenlik sorunları’
Reuters, Pushwoosh’un CDC ile olan Rus bağlantılarını artırdıktan sonra, sağlık kurumu, “şirket potansiyel bir güvenlik endişesi sunduğu için” kodu uygulamalarından kaldırdı, sözcü Kristen Nordlund söyledi.
Nordlund yaptığı açıklamada, “CDC, Pushwoosh’un Washington DC bölgesinde yerleşik bir şirket olduğuna inanıyordu” dedi. İnanç, şirket tarafından yapılan “temsillere” dayanıyordu, dedi, detaylandırmadan.
Pushwoosh kodunu içeren CDC uygulamaları, ajansın ana uygulamasını ve çok çeşitli sağlık sorunları hakkında bilgi paylaşmak için kurulan diğer uygulamaları içeriyordu. Biri cinsel yolla bulaşan hastalıkları tedavi eden doktorlar içindi. CDC, şirketin COVID gibi sağlık konularındaki bildirimlerini de kullanırken, ajans “kullanıcı verilerini Pushwoosh ile paylaşmadığını” söyledi.
Ordu, Reuters’e Mart ayında “güvenlik sorunları” nedeniyle Pushwoosh içeren bir uygulamayı kaldırdığını söyledi. Kaliforniya’daki Ulusal Eğitim Merkezi’nde (NTC) kullanılmak üzere bir bilgi portalı olan uygulamanın askerler tarafından ne kadar yaygın olarak kullanıldığı belirtilmedi.
NTC, Mojave Çölü’nde konuşlanma öncesi askerler için büyük bir savaş eğitim merkezidir, yani oradaki bir veri ihlali, yaklaşmakta olan denizaşırı birlik hareketlerini ortaya çıkarabilir.
ABD Ordusu sözcüsü Bryce Dubee, Ordunun “operasyonel veri kaybı” yaşamadığını ve uygulamanın Ordu ağına bağlanmadığını da sözlerine ekledi.
UEFA ve Unilever dahil olmak üzere bazı büyük şirketler ve kuruluşlar, üçüncü tarafların uygulamaları kendileri için kurduğunu veya bir ABD şirketini işe aldıklarını düşündüklerini söyledi.
Unilever yaptığı açıklamada, “Pushwoosh ile doğrudan bir ilişkimiz yok” diyerek, Pushwoosh’un “bir süre önce” uygulamalarından birinden kaldırıldığını da sözlerine ekledi.
UEFA, Pushwoosh ile yaptığı sözleşmenin “bir ABD şirketi ile” olduğunu söyledi. UEFA, Pushwoosh’un Rus bağlarını bilip bilmediğini söylemeyi reddetti, ancak Reuters ile temasa geçtikten sonra şirketle olan ilişkisini gözden geçirdiğini söyledi.
NRA, şirketle olan sözleşmesinin geçen yıl sona erdiğini ve “herhangi bir sorunun farkında olmadığını” söyledi.
İngiltere İşçi Partisi yorum taleplerine yanıt vermedi.
Zach Edwards, “Pushwoosh’un topladığı veriler Facebook, Google veya Amazon tarafından toplanabilecek verilere benzer, ancak fark, ABD’deki tüm Pushwoosh verilerinin Rusya’daki bir şirket (Pushwoosh) tarafından kontrol edilen sunuculara gönderilmesidir” dedi. , kar amacı gütmeyen bir kuruluş olan Internet Safety Labs için çalışırken Pushwoosh kodunun yaygınlığını ilk kez fark eden bir güvenlik araştırmacısı.
Rusya’nın devlet iletişim düzenleyicisi Roskomnadzor, Reuters’in yorum talebine yanıt vermedi.
Sahte adres, sahte profiller
ABD düzenleyici başvurularında ve sosyal medyada Pushwoosh, Rus bağlantılarından asla bahsetmiyor. Şirket, Twitter’daki konumu olarak “Washington, DC”yi listeliyor ve Delaware’in dışişleri bakanına sunduğu en son ABD şirket dosyalarına göre, ofis adresini Kensington, Maryland banliyösünde bir ev olarak iddia ediyor. Ayrıca Facebook ve LinkedIn profillerinde Maryland adresini listeler.
Kensington evi, isminin açıklanmaması koşuluyla bir Reuters gazetecisiyle görüşen Konev’in Rus bir arkadaşının evi. Pushwoosh ile hiçbir ilgisi olmadığını ve yalnızca Konev’in posta almak için adresini kullanmasına izin verdiğini söyledi.
Konev, Pushwoosh’un koronavirüs pandemisi sırasında “iş yazışmalarını almak” için Maryland adresini kullanmaya başladığını söyledi.
Şu anda Tayland’dan Pushwoosh işlettiğini söyledi, ancak orada kayıtlı olduğuna dair hiçbir kanıt sağlamadı. Reuters, Tayland şirket sicilinde bu isimde bir şirket bulamadı.
Pushwoosh, kayıtlı olduğu ABD’nin Delaware eyaletinde sekiz yıllık dosyalamada Rusya merkezli olduğundan hiç bahsetmedi, bu eyalet yasalarını ihlal edebilecek bir ihmal.
Bunun yerine Pushwoosh, 2014’ten 2016’ya kadar ana iş yeri olarak Union City, California’da bir adres kaydetti. Union City yetkililerine göre bu adres mevcut değil.
Pushwoosh, satış talep etmek için Mary Brown ve Noah O’Shea adlı Washington DC merkezli iki yöneticiye ait olduğu iddia edilen LinkedIn hesaplarını kullandı. Ancak Reuters, ne Brown ne de O’Shea’nın gerçek insanlar olmadığını tespit etti.
Brown’a ait olan, aslında Moskova’da bir fotoğrafçı tarafından çekilen ve Reuters’e olayın siteye nasıl düştüğü hakkında hiçbir fikri olmadığını söyleyen Avusturya merkezli bir dans öğretmenine aitti.
Konev, hesapların gerçek olmadığını kabul etti. Pushwoosh’un, şirketin Rus kökenlerini maskelemek için değil, Pushwoosh’u satmak için sosyal medyayı kullanmak amacıyla 2018’de bir pazarlama ajansı tuttuğunu söyledi.
LinkedIn, Reuters tarafından uyarıldıktan sonra hesapları kaldırdığını söyledi.
© Thomson Reuters 2022
