I Centri per il Controllo e la Prevenzione delle Malattie (CDC), l'agenzia principale degli Stati Uniti per combattere le principali minacce alla salute, hanno dichiarato di essere stati ingannati nel credere che Pushwoosh avesse sede nella capitale americana. Dopo aver appreso le sue origini russe da Reuters, ha rimosso il software Pushwoosh da sette applicazioni rivolte al pubblico, citando problemi di sicurezza.

L'Esercito degli Stati Uniti ha dichiarato di aver rimosso un'applicazione contenente il codice di Pushwoosh a marzo a causa delle stesse preoccupazioni. Quell'applicazione era utilizzata dai soldati di una delle principali basi di addestramento al combattimento del Paese.

Secondo i documenti aziendali depositati pubblicamente in Russia ed esaminati da Reuters, Pushwoosh ha sede nella città siberiana di Novosibirsk, dove è registrata come azienda di software che svolge anche attività di elaborazione dati. Impiega circa 40 persone e ha registrato un fatturato di 143.270.000 rubli (2,4 milioni di dollari) lo scorso anno. Pushwoosh è registrata presso il Governo russo per pagare le tasse in Russia.

Sui social media e nei documenti normativi statunitensi, tuttavia, si presenta come un'azienda statunitense, con sede in vari momenti in California, Maryland e Washington, D.C., ha rilevato Reuters.

Pushwoosh fornisce codice e supporto per l'elaborazione dei dati agli sviluppatori di software, consentendo loro di profilare l'attività online degli utenti di app per smartphone e di inviare notifiche push su misura dai server di Pushwoosh.

Sul suo sito web, Pushwoosh afferma di non raccogliere informazioni sensibili e Reuters non ha trovato alcuna prova che Pushwoosh abbia gestito male i dati degli utenti. Le autorità russe, tuttavia, hanno obbligato le aziende locali a consegnare i dati degli utenti alle agenzie di sicurezza nazionali.

Il fondatore di Pushwoosh, Max Konev, ha dichiarato a Reuters in un'e-mail di settembre che l'azienda non ha cercato di mascherare le sue origini russe. "Sono orgoglioso di essere russo e non lo nasconderei mai".

Ha detto che l'azienda "non ha alcun tipo di legame con il governo russo" e archivia i suoi dati negli Stati Uniti e in Germania.

Gli esperti di sicurezza informatica hanno detto che la conservazione dei dati all'estero non impedisce alle agenzie di intelligence russe di costringere un'azienda russa a cedere l'accesso a quei dati, tuttavia.

La Russia, i cui legami con l'Occidente si sono deteriorati dopo l'acquisizione della penisola di Crimea nel 2014 e l'invasione dell'Ucraina quest'anno, è un leader globale nell'hacking e nello spionaggio informatico, che spia i governi e le industrie straniere per cercare un vantaggio competitivo, secondo i funzionari occidentali.

UN ENORME DATABASE

Il codice di Pushwoosh è stato installato nelle applicazioni di un'ampia gamma di aziende internazionali, organizzazioni non profit influenti e agenzie governative, dall'azienda globale di beni di consumo Unilever Plc e l'Unione delle Associazioni Calcistiche Europee (UEFA) alla lobby politicamente potente degli Stati Uniti per le armi, la National Rifle Association (NRA), e il Partito Laburista della Gran Bretagna.

Gli affari di Pushwoosh con le agenzie governative statunitensi e le aziende private potrebbero violare le leggi sui contratti e la Federal Trade Commission (FTC) degli Stati Uniti o far scattare sanzioni, hanno dichiarato a Reuters 10 esperti legali. L'FBI, il Tesoro degli Stati Uniti e l'FTC hanno rifiutato di commentare.

Jessica Rich, ex direttrice dell'Ufficio di Protezione dei Consumatori dell'FTC, ha detto che "questo tipo di caso rientra proprio nell'autorità dell'FTC", che reprime le pratiche sleali o ingannevoli che colpiscono i consumatori statunitensi.

Washington potrebbe scegliere di imporre sanzioni su Pushwoosh e ha un'ampia autorità per farlo, hanno detto gli esperti di sanzioni, forse anche attraverso un ordine esecutivo del 2021 che dà agli Stati Uniti la possibilità di colpire il settore tecnologico russo per attività informatiche dannose.

Il codice di Pushwoosh è stato incorporato in quasi 8.000 applicazioni negli app store di Google e Apple, secondo Appfigures, un sito web di intelligence sulle applicazioni. Il sito web di Pushwoosh afferma di avere più di 2,3 miliardi di dispositivi elencati nel suo database.

"Pushwoosh raccoglie i dati degli utenti, compresa la geolocalizzazione precisa, su app sensibili e governative, il che potrebbe consentire un tracciamento invasivo su scala", ha dichiarato Jerome Dangu, co-fondatore di Confiant, un'azienda che traccia l'uso improprio dei dati raccolti nelle catene di fornitura della pubblicità online.

"Non abbiamo riscontrato alcun chiaro segno di intento ingannevole o maligno nell'attività di Pushwoosh, il che certamente non diminuisce il rischio di una fuga di dati dell'app verso la Russia", ha aggiunto.

Google ha detto che la privacy è un "grande obiettivo" per l'azienda, ma non ha risposto alle richieste di commento su Pushwoosh. Apple ha dichiarato di prendere sul serio la fiducia e la sicurezza degli utenti, ma allo stesso modo non ha risposto alle domande.

Keir Giles, esperto di Russia presso il think tank londinese Chatham House, ha affermato che nonostante le sanzioni internazionali contro la Russia, un "numero sostanziale" di aziende russe continua a commerciare all'estero e a raccogliere i dati personali delle persone.

Date le leggi sulla sicurezza interna della Russia, "non dovrebbe essere una sorpresa che, con o senza legami diretti con le campagne di spionaggio dello Stato russo, le aziende che gestiscono i dati saranno desiderose di minimizzare le loro origini russe", ha detto.

'PROBLEMI DI SICUREZZA'

Dopo che Reuters ha sollevato i legami russi di Pushwoosh con il CDC, l'agenzia sanitaria ha rimosso il codice dalle sue applicazioni perché "l'azienda presenta un potenziale problema di sicurezza", ha detto la portavoce Kristen Nordlund.

"Il CDC credeva che Pushwoosh fosse un'azienda con sede nell'area di Washington, D.C.", ha dichiarato Nordlund in un comunicato. Questa convinzione si basava su "dichiarazioni" fatte dall'azienda, ha detto, senza approfondire.

Le applicazioni CDC che contenevano il codice di Pushwoosh includevano l'applicazione principale dell'agenzia e altre create per condividere informazioni su un'ampia gamma di problemi di salute. Una era destinata ai medici che trattano le malattie sessualmente trasmissibili. Sebbene il CDC abbia utilizzato anche le notifiche dell'azienda per questioni sanitarie come COVID, l'agenzia ha dichiarato di "non condividere i dati degli utenti con Pushwoosh".

L'esercito ha dichiarato a Reuters di aver rimosso un'applicazione contenente Pushwoosh a marzo, citando "problemi di sicurezza". Non ha detto quanto l'applicazione, che era un portale di informazioni da utilizzare presso il suo National Training Center (NTC) in California, fosse stata utilizzata dalle truppe.

L'NTC è un importante centro di addestramento al combattimento nel deserto del Mojave per i soldati in fase di pre-dispiegamento, il che significa che una violazione dei dati potrebbe rivelare i prossimi movimenti delle truppe all'estero.

Il portavoce dell'Esercito degli Stati Uniti, Bryce Dubee, ha dichiarato che l'Esercito non ha subito alcuna "perdita operativa di dati", aggiungendo che l'applicazione non si è connessa alla rete dell'Esercito.

Alcune grandi aziende e organizzazioni, tra cui la UEFA e Unilever, hanno detto che terze parti hanno configurato le app per loro, oppure pensavano di assumere un'azienda statunitense.

"Non abbiamo una relazione diretta con Pushwoosh", ha dichiarato Unilever in un comunicato, aggiungendo che Pushwoosh è stato rimosso da una delle sue app "qualche tempo fa".

La UEFA ha detto che il suo contratto con Pushwoosh era "con una società statunitense". La UEFA ha rifiutato di dire se fosse a conoscenza dei legami russi di Pushwoosh, ma ha detto che stava rivedendo il suo rapporto con l'azienda dopo essere stata contattata da Reuters.

L'ANR ha detto che il suo contratto con l'azienda è terminato l'anno scorso e che "non era a conoscenza di alcun problema".

Il Partito Laburista britannico non ha risposto alle richieste di commento.

"I dati raccolti da Pushwoosh sono simili a quelli che potrebbero essere raccolti da Facebook, Google o Amazon, ma la differenza è che tutti i dati di Pushwoosh negli Stati Uniti vengono inviati a server controllati da un'azienda (Pushwoosh) in Russia", ha detto Zach Edwards, un ricercatore di sicurezza, che ha individuato per la prima volta la prevalenza del codice Pushwoosh mentre lavorava per Internet Safety Labs, un'organizzazione no-profit.

Roskomnadzor, l'ente statale russo per le comunicazioni, non ha risposto a una richiesta di commento da parte di Reuters.

INDIRIZZO FALSO, PROFILI FALSI

Nei documenti normativi statunitensi e sui social media, Pushwoosh non menziona mai i suoi legami con la Russia. L'azienda elenca "Washington, D.C." come sede su Twitter e dichiara che l'indirizzo del suo ufficio è una casa nel sobborgo di Kensington, Maryland, secondo i suoi ultimi documenti societari statunitensi presentati al Segretario di Stato del Delaware. L'azienda elenca l'indirizzo del Maryland anche sui suoi profili Facebook e LinkedIn.

La casa di Kensington è l'abitazione di un amico russo di Konev che ha parlato con un giornalista di Reuters a condizione di anonimato. Ha detto di non avere nulla a che fare con Pushwoosh e di aver solo accettato di permettere a Konev di utilizzare il suo indirizzo per ricevere la posta.

Konev ha detto che Pushwoosh aveva iniziato ad utilizzare l'indirizzo del Maryland per "ricevere corrispondenza commerciale" durante la pandemia di coronavirus.

Ha detto che ora gestisce Pushwoosh dalla Tailandia, ma non ha fornito alcuna prova che sia registrata lì. Reuters non è riuscita a trovare una società con questo nome nel registro delle società thailandesi.

Pushwoosh non ha mai menzionato la sua sede in Russia negli otto depositi annuali nello Stato americano del Delaware, dove è registrata, un'omissione che potrebbe violare la legge statale.

Invece, Pushwoosh ha indicato un indirizzo a Union City, California, come sede principale di attività dal 2014 al 2016. Questo indirizzo non esiste, secondo i funzionari di Union City.

Pushwoosh ha utilizzato gli account LinkedIn che si presume appartenessero a due dirigenti con sede a Washington D.C., Mary Brown e Noah O'Shea, per sollecitare le vendite. Ma né Brown né O'Shea sono persone reali, ha scoperto Reuters.

Quello appartenente a Brown era in realtà di un'insegnante di danza con sede in Austria, scattato da un fotografo di Mosca, che ha dichiarato a Reuters di non avere idea di come sia finito sul sito.

Konev ha riconosciuto che gli account non erano autentici. Ha detto che Pushwoosh ha assunto un'agenzia di marketing nel 2018 per crearli nel tentativo di utilizzare i social media per vendere Pushwoosh, non per mascherare le origini russe dell'azienda.

LinkedIn ha dichiarato di aver rimosso gli account dopo essere stato avvisato da Reuters.