blog.fcuzhhorod.com

Ribuan aplikasi ponsel pintar di toko online Apple dan Google berisi kode komputer yang dikembangkan oleh perusahaan teknologi, Pushwoosh, yang menyatakan dirinya berbasis di Amerika Serikat namun sebenarnya berasal dari Rusia, demikian temuan Reuters.

Pusat Pengendalian dan Pencegahan Penyakit (CDC), lembaga utama Amerika Serikat untuk memerangi ancaman kesehatan utama, mengatakan bahwa mereka telah disesatkan dengan meyakini bahwa Pushwoosh berbasis di ibu kota AS. Setelah mempelajari akar bahasa Rusia dari Reuters, mereka menghapus perangkat lunak Pushwoosh dari tujuh aplikasi publik, dengan alasan masalah keamanan.

Militer AS mengatakan pihaknya menghapus aplikasi yang berisi kode Pushwoosh pada bulan Maret karena kekhawatiran yang sama. Aplikasi ini digunakan oleh tentara di salah satu pangkalan pelatihan tempur utama negara tersebut.

Menurut dokumen perusahaan yang diajukan secara publik di Rusia dan ditinjau oleh Reuters, Pushwoosh berkantor pusat di kota Novosibirsk di Siberia, tempat ia terdaftar sebagai perusahaan perangkat lunak yang juga melakukan pemrosesan data. Perusahaan ini mempekerjakan sekitar 40 orang dan melaporkan pendapatan sebesar 143.270.000 rubel ($2,4 juta) tahun lalu. Pushwoosh terdaftar di pemerintah Rusia untuk membayar pajak di Rusia.

Namun, di media sosial dan dalam pengajuan peraturan AS, perusahaan ini menampilkan dirinya sebagai perusahaan AS, yang beberapa kali berbasis di California, Maryland, dan Washington, DC, demikian temuan Reuters.

Pushwoosh memberikan kode dan dukungan pemrosesan data untuk pengembang perangkat lunak, memungkinkan mereka membuat profil aktivitas online pengguna aplikasi ponsel cerdas dan mengirimkan pemberitahuan push yang disesuaikan dari server Pushwoosh.

Di situsnya, Pushwoosh mengatakan pihaknya tidak mengumpulkan informasi sensitif, dan Reuters tidak menemukan bukti bahwa Pushwoosh salah menangani data pengguna. Namun, pihak berwenang Rusia telah memaksa perusahaan lokal untuk menyerahkan data pengguna kepada badan keamanan dalam negeri.

Pendiri Pushwoosh, Max Konev, mengatakan kepada Reuters melalui email pada bulan September bahwa perusahaan tersebut tidak berusaha menyembunyikan asal usulnya dari Rusia. “Saya bangga menjadi orang Rusia dan saya tidak akan pernah menyembunyikannya.”

Dia mengatakan perusahaan tersebut “tidak memiliki hubungan apa pun dengan pemerintah Rusia” dan menyimpan datanya di Amerika Serikat dan Jerman.

Pakar keamanan siber mengatakan bahwa menyimpan data di luar negeri tidak akan mencegah badan intelijen Rusia memaksa perusahaan Rusia untuk menyerahkan akses terhadap data tersebut.

Rusia, yang hubungannya dengan Barat memburuk sejak pengambilalihan semenanjung Krimea pada tahun 2014 dan invasinya ke Ukraina tahun ini, adalah pemimpin dunia dalam peretasan dan spionase dunia maya, yang memata-matai pemerintah dan industri asing untuk mencari keunggulan kompetitif. .

Basis data besar

Kode Pushwoosh telah dipasang di aplikasi berbagai perusahaan internasional, organisasi nirlaba berpengaruh, dan lembaga pemerintah mulai dari perusahaan barang konsumen global Unilever dan Persatuan Asosiasi Sepak Bola Eropa (UEFA) hingga lobi senjata AS yang kuat secara politik, the National Rifle Association (NRA), dan Partai Buruh Inggris.

Transaksi Pushwoosh dengan lembaga pemerintah dan perusahaan swasta AS dapat melanggar undang-undang kontrak dan Komisi Perdagangan Federal AS (FTC) atau memicu sanksi, kata 10 pakar hukum kepada Reuters. FBI, Departemen Keuangan AS, dan FTC menolak berkomentar.

Jessica Rich, mantan direktur Biro Perlindungan Konsumen FTC, mengatakan “kasus seperti ini berada dalam kewenangan FTC,” yang menindak praktik tidak adil atau menipu yang mempengaruhi konsumen Amerika.

Washington dapat memilih untuk menjatuhkan sanksi terhadap Pushwoosh dan memiliki wewenang yang luas untuk melakukannya, kata para ahli sanksi, termasuk kemungkinan melalui perintah eksekutif tahun 2021 yang memberikan Amerika Serikat kemampuan untuk menargetkan sektor teknologi Rusia atas aktivitas siber yang berbahaya.

Kode pushwoosh tertanam di hampir 8.000 aplikasi di toko aplikasi Google dan Apple, menurut Appfigures, sebuah situs web intelijen aplikasi. Situs web Pushwoosh menyatakan mereka memiliki lebih dari 2,3 miliar perangkat yang terdaftar dalam databasenya.

“Pushwoosh mengumpulkan data pengguna, termasuk geolokasi yang tepat, pada aplikasi sensitif dan pemerintah, yang memungkinkan deteksi intrusif dalam skala besar,” kata Jerome Dangu, salah satu pendiri Confiant, sebuah perusahaan yang melacak penyalahgunaan data yang dikumpulkan dalam rantai pasokan iklan online.

“Kami tidak menemukan tanda-tanda jelas adanya penipuan atau niat jahat dalam aktivitas Pushwoosh, yang tentunya tidak mengurangi risiko kebocoran data aplikasi ke Rusia,” tambahnya.

Google mengatakan privasi adalah “fokus besar” bagi perusahaan, namun tidak menanggapi permintaan komentar tentang Pushwoosh. Apple mengatakan pihaknya sangat memperhatikan kepercayaan dan keamanan pengguna, tetapi juga menolak menjawab pertanyaan.

Keir Giles, pakar Rusia di lembaga pemikir Chatham House yang berbasis di London, mengatakan bahwa meskipun ada sanksi internasional terhadap Rusia, “sejumlah besar” perusahaan Rusia masih melakukan bisnis di luar negeri dan mengumpulkan data pribadi masyarakat.

Mengingat undang-undang keamanan dalam negeri Rusia, “tidak mengherankan bahwa dengan atau tanpa hubungan langsung dengan kampanye spionase negara Rusia, perusahaan-perusahaan yang menangani data akan berusaha untuk meremehkan asal-usul mereka di Rusia,” katanya.

“Masalah Keamanan”

Setelah Reuters mengangkat hubungan Pushwoosh dengan CDC, badan kesehatan tersebut menghapus kode tersebut dari aplikasinya karena “perusahaan tersebut menimbulkan potensi masalah keamanan,” kata juru bicara Kristen Nordlund.

“CDC percaya Pushwoosh adalah perusahaan yang berbasis di wilayah Washington, DC,” kata Nordlund dalam sebuah pernyataan. Keyakinan tersebut didasarkan pada “representasi” yang dilakukan perusahaan, ujarnya tanpa menjelaskan lebih lanjut.

Aplikasi CDC yang berisi kode Pushwoosh mencakup aplikasi utama lembaga tersebut dan aplikasi lainnya yang disiapkan untuk berbagi informasi tentang berbagai masalah kesehatan. Salah satunya untuk dokter yang menangani penyakit menular seksual. Meskipun CDC juga menggunakan notifikasi perusahaan untuk masalah kesehatan seperti COVID, CDC mengatakan pihaknya “tidak membagikan data pengguna dengan Pushwoosh.”

Militer mengatakan kepada Reuters bahwa mereka telah menghapus aplikasi yang berisi Pushwoosh pada bulan Maret, dengan alasan “masalah keamanan”. Namun tidak disebutkan seberapa luas aplikasi tersebut, yang merupakan portal informasi untuk digunakan di Pusat Pelatihan Nasional (NTC) di California, digunakan oleh tentara.

NTC adalah pusat pelatihan tempur utama di Gurun Mojave untuk tentara pra-penempatan, yang berarti pelanggaran data di sana dapat mengungkap pergerakan pasukan luar negeri yang akan datang.

Juru bicara Angkatan Darat AS Bryce Dubee mengatakan pihak militer tidak mengalami “kehilangan data operasional”, dan menambahkan bahwa aplikasi tersebut tidak terkait dengan pekerjaan magnet cuaca.

Beberapa perusahaan dan organisasi besar, termasuk UEFA dan Unilever, mengatakan pihak ketiga telah menyiapkan aplikasi untuk mereka, atau mereka mengira sedang menyewa perusahaan Amerika.

“Kami tidak memiliki hubungan langsung dengan Pushwoosh,” kata Unilever dalam sebuah pernyataan, seraya menambahkan bahwa Pushwoosh “telah dihapus dari salah satu aplikasinya beberapa waktu lalu.”

UEFA mengatakan kontraknya dengan Pushwoosh adalah “dengan perusahaan Amerika.” UEFA menolak mengatakan apakah mereka mengetahui hubungan Pushwoosh dengan Rusia, namun mengatakan mereka sedang meninjau hubungannya dengan perusahaan tersebut setelah dihubungi oleh Reuters.

NRA mengatakan kontraknya dengan perusahaan tersebut berakhir tahun lalu, dan pihaknya “tidak mengetahui adanya masalah”.

Partai Buruh Inggris tidak menanggapi permintaan komentar.

“Data yang dikumpulkan Pushwoosh mirip dengan data yang dapat dikumpulkan oleh Facebook, Google atau Amazon, namun bedanya semua data Pushwoosh di AS dikirim ke server yang dikendalikan oleh perusahaan (Pushwoosh) di Rusia,” Zach Edwards dikatakan. , seorang peneliti keamanan, yang pertama kali menyadari prevalensi kode Pushwoosh saat bekerja untuk Internet Safety Labs, sebuah organisasi nirlaba.

Roskomnadzor, regulator komunikasi negara Rusia, tidak menanggapi permintaan komentar Reuters.

Alamat palsu, profil palsu

Dalam pengajuan peraturan AS dan di media sosial, Pushwoosh tidak pernah menyebutkan tautannya ke Rusia. Perusahaan tersebut mencantumkan “Washington, DC” sebagai lokasinya di Twitter dan mengklaim alamat kantornya sebagai rumah di pinggiran Kensington, Maryland, menurut pengajuan perusahaan AS terbaru yang diajukan ke Menteri Luar Negeri Delaware. Itu juga mencantumkan alamat Maryland di profil Facebook dan LinkedIn-nya.

Rumah di Kensington adalah rumah teman Konev dari Rusia yang berbicara kepada jurnalis Reuters tanpa menyebut nama. Dia mengatakan dia tidak ada hubungannya dengan Pushwoosh dan hanya setuju untuk mengizinkan Konev menggunakan alamatnya untuk menerima surat.

Konev mengatakan Pushwoosh mulai menggunakan alamat Maryland untuk “menerima korespondensi bisnis” selama pandemi virus corona.

Dia mengatakan dia sekarang mengoperasikan Pushwoosh dari Thailand, namun tidak memberikan bukti bahwa perusahaan itu terdaftar di sana. Reuters tidak dapat menemukan perusahaan dengan nama tersebut di daftar perusahaan Thailand.

Pushwoosh tidak pernah menyebutkan basisnya di Rusia dalam delapan pengajuan tahunan di negara bagian Delaware, AS, tempat perusahaan tersebut terdaftar, sebuah kelalaian yang dapat melanggar hukum negara bagian.

Sebaliknya, Pushwoosh mencantumkan alamat di Union City, California, sebagai tempat usaha utamanya dari tahun 2014 hingga 2016. Alamat tersebut tidak ada, menurut pejabat Union City.

Pushwoosh menggunakan akun LinkedIn yang diduga milik dua eksekutif yang berbasis di Washington, DC bernama Mary Brown dan Noah O’Shea untuk meminta penjualan. Namun baik Brown maupun O’Shea bukanlah orang sungguhan, demikian temuan Reuters.

Foto milik Brown sebenarnya berasal dari seorang guru tari yang tinggal di Austria, diambil oleh seorang fotografer di Moskow, yang mengatakan kepada Reuters bahwa dia tidak tahu bagaimana foto itu bisa muncul di situs tersebut.

Konev mengakui akun tersebut tidak asli. Dia mengatakan Pushwoosh menyewa agen pemasaran pada tahun 2018 untuk menciptakannya dalam upaya menggunakan media sosial untuk menjual Pushwoosh, bukan untuk menyembunyikan asal-usul perusahaan tersebut di Rusia.

LinkedIn mengatakan pihaknya menghapus akun tersebut setelah diperingatkan oleh Reuters. – Rappler.com