Công ty Nga đội lốt Mỹ nhúng mã vào gần 8.000 ứng dụng, gây lo ngại về bảo mật dữ liệu
Thế giới số - Ngày đăng : 21:12, 14/11/2022
Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh (CDC), cơ quan chính của Mỹ trong việc chống lại các mối đe dọa sức khỏe lớn, cho biết đã bị lừa khi tin rằng Pushwoosh có trụ sở tại Washington. Sau khi biết về nguồn gốc Nga của Pushwoosh từ hãng tin Reuters, CDC đã xóa 7 ứng dụng công khai có chứa mã Pushwoosh, với lý do lo ngại về bảo mật.
Quân đội Mỹ cho biết đã xóa một ứng dụng có chứa mã Pushwoosh vào tháng 3 vì những lo ngại tương tự. Ứng dụng đó đã được sử dụng bởi những người lính tại một trong những căn cứ huấn luyện chiến đấu chính của Mỹ.
Theo các tài liệu của công ty được nộp công khai tại Nga mà Reuters biết được, Pushwoosh có trụ sở chính ở thị trấn Novosibirsk, Siberia, nơi nó được đăng ký là một công ty phần mềm cũng thực hiện xử lý dữ liệu. Pushwoosh sử dụng khoảng 40 người và báo cáo doanh thu là 143.270.000 rúp (2,4 triệu USD) vào năm ngoái. Pushwoosh đã đăng ký với chính phủ Nga để nộp thuế tại nước này.
Tuy nhiên, trên phương tiện truyền thông xã hội và trong các hồ sơ pháp lý của Mỹ, Pushwoosh thể hiện mình là một công ty Mỹ, có trụ sở tại nhiều địa điểm khác nhau ở California, Maryland và Washington D.C, theo Reuters.
Pushwoosh cung cấp hỗ trợ xử lý mã và dữ liệu cho các nhà phát triển phần mềm, giúp họ lập hồ sơ hoạt động trực tuyến của người dùng ứng dụng smartphone và gửi thông báo đẩy được thiết kế riêng từ các máy chủ Pushwoosh.
Trên trang web của mình, Pushwoosh cho biết không thu thập thông tin nhạy cảm và Reuters không tìm thấy bằng chứng nào về việc công ty đã xử lý sai dữ liệu người dùng. Tuy nhiên, chính quyền Nga đã buộc các công ty địa phương giao dữ liệu người dùng cho các cơ quan an ninh trong nước.
Max Konev, người sáng lập Pushwoosh, cho Reuters biết trong một email hồi tháng 9 rằng công ty không cố che giấu nguồn gốc từ Nga. "Tôi tự hào là người Nga và tôi sẽ không bao giờ giấu điều này", Max Konev nói.
Max Konev nói công ty "không có mối liên hệ nào với chính phủ Nga dưới bất kỳ hình thức nào" và lưu trữ dữ liệu của mình ở Mỹ, Đức. Tuy nhiên, các chuyên gia an ninh mạng nói việc lưu trữ dữ liệu ở nước ngoài sẽ không ngăn được các cơ quan tình báo Nga buộc một công ty Nga nhượng quyền truy cập vào dữ liệu đó.
Cơ sở dữ liệu khổng lồ
Mã Pushwoosh đã được cài đặt trong các ứng dụng của hàng loạt công ty quốc tế, tổ chức phi lợi nhuận có ảnh hưởng và các cơ quan chính phủ từ hãng hàng tiêu dùng toàn cầu Unilever, Liên đoàn bóng đá châu Âu (UEFA) đến Hiệp hội Súng trường Quốc gia Mỹ (NRA) và đảng Lao động của Anh.
Hoạt động kinh doanh của Pushwoosh với các cơ quan chính phủ Mỹ cùng các công ty tư nhân có thể vi phạm luật hợp đồng nên Ủy ban Thương mại Liên bang Mỹ (FTC) có thể kích hoạt các biện pháp trừng phạt nó, 10 chuyên gia pháp lý nói với Reuters.
Cục Điều tra Liên bang (FBI), Bộ Ngân khố Mỹ và FTC từ chối bình luận.
Jessica Rich, cựu Giám đốc Cục Bảo vệ Người tiêu dùng của FTC, nói "loại trường hợp này thuộc thẩm quyền của FTC" để loại bỏ các hành vi lừa đảo hoặc không công bằng ảnh hưởng đến người tiêu dùng Mỹ.
Các chuyên gia cho biết Mỹ có thể chọn áp đặt các biện pháp trừng phạt với Pushwoosh và có thẩm quyền rộng rãi để làm như vậy, gồm cả việc có thể thông qua một lệnh hành pháp năm 2021 cho phép Mỹ có khả năng nhắm mục tiêu vào lĩnh vực công nghệ của Nga thông qua hoạt động mạng độc hại.
Mã Pushwoosh đã được nhúng vào gần 8.000 ứng dụng từ cửa hàng ứng dụng của Google và Apple, theo Appfigures, một trang web về ứng dụng thông minh. Trang web Pushwoosh cho biết họ có hơn 2,3 tỉ thiết bị được liệt kê trong cơ sở dữ liệu của mình.
Jerome Dangu, đồng sáng lập của Confiant - công ty chuyên theo dõi việc lạm dụng dữ liệu được thu thập trong các chuỗi cung ứng quảng cáo trực tuyến, cho hay: “Pushwoosh thu thập dữ liệu người dùng gồm cả vị trí địa lý chính xác, trên các ứng dụng nhạy cảm và chính phủ”.
“Chúng tôi không tìm thấy bất kỳ dấu hiệu rõ ràng nào về mục đích lừa đảo hoặc ác ý trong hoạt động của Pushwoosh, nhưng điều này chắc chắn không làm giảm nguy cơ dữ liệu ứng dụng bị rò rỉ sang Nga”, ông nói thêm.
Google nói quyền riêng tư là "trọng tâm lớn" với công ty nhưng không trả lời câu hỏi về Pushwoosh. Apple cho biết rất coi trọng sự tin tưởng và an toàn của người dùng nhưng cũng từ chối trả lời các câu hỏi.
Keir Giles, chuyên gia về Nga tại tổ chức tư vấn Chatham House ở London (thủ đô Anh), nói bất chấp các lệnh trừng phạt của quốc tế với Nga, "một số lượng đáng kể" các công ty Nga vẫn kinh doanh ở nước ngoài và thu thập dữ liệu cá nhân của người dùng.
"Vấn đề an ninh"
Sau khi Reuters nêu lên các mối liên hệ với Nga của Pushwoosh, CDC đã xóa mã Pushwoosh khỏi ứng dụng của mình vì "công ty có mối lo ngại về bảo mật".
Người phát ngôn CDC - Kristen Nordlund nói: "CDC từng tin rằng Pushwoosh là một công ty có trụ sở tại khu vực thủ đô Washington”. Bà nói rằng niềm tin dựa trên "các đại diện" của Pushwoosh mà không giải thích chi tiết.
Các ứng dụng CDC chứa mã Pushwoosh bao gồm ứng dụng chính của cơ quan này và những ứng dụng khác được thiết lập để chia sẻ thông tin về hàng loạt các vấn đề sức khỏe. Một ứng dụng là dành cho các bác sĩ điều trị các bệnh lây truyền qua đường tình dục. Trong khi sử dụng các thông báo của công ty về các vấn đề sức khỏe như nCoV, CDC cho biết "không chia sẻ dữ liệu người dùng với Pushwoosh".
Quân đội Mỹ nói với Reuters rằng đã gỡ bỏ ứng dụng có chứa mã Pushwoosh vào tháng 3, với lý do "các vấn đề an ninh". Quân đội Mỹ không cho biết ứng dụng - vốn là cổng thông tin để sử dụng tại Trung tâm Huấn luyện Quốc gia (NTC) ở bang California - đã được họ sử dụng rộng rãi như thế nào.
NTC là một trung tâm huấn luyện chiến đấu lớn ở hoang mạc Mojave dành cho những người lính được đào tạo, đồng nghĩa một lỗ hổng dữ liệu ở đó có thể tiết lộ các đợt chuyển quân sắp tới tại nước ngoài.
Người phát ngôn quân đội Mỹ - Bryce Dubee cho biết quân đội không bị "mất dữ liệu hoạt động", nói thêm rằng ứng dụng không kết nối với mạng quân đội.
Một số công ty và tổ chức lớn, gồm cả UEFA và Unilever, cho biết các bên thứ ba thiết lập ứng dụng cho họ hoặc họ nghĩ rằng đang thuê từ một công ty Mỹ.
"Chúng tôi không có mối quan hệ trực tiếp với Pushwoosh", Unilever nhấn mạnh, đồng thời nói thêm rằng Pushwoosh đã bị xóa khỏi một trong các ứng dụng của mình một thời gian trước.
UEFA nói hợp đồng giữa họ và Pushwoosh là "với một công ty của Mỹ". UEFA từ chối tiết lộ liệu họ có biết về mối quan hệ của Pushwoosh với Nga hay không, nhưng cho biết đang xem xét lại mối quan hệ với công ty sau khi được Reuters liên hệ.
Hiệp hội Súng trường Quốc gia Mỹ cho biết hợp đồng của họ với Pushwoosh kết thúc vào năm ngoái và "không biết về bất kỳ vấn đề nào".
Đảng Lao động của Anh đã không trả lời câu hỏi về Pushwoosh.
Zach Edwards, nhà nghiên cứu bảo mật đầu tiên phát hiện ra sự phổ biến của mã Pushwoosh khi làm việc cho tổ chức phi lợi nhuận Internet Safety Labs, nói: "Dữ liệu mà Pushwoosh thu thập tương tự như dữ liệu có thể được Facebook, Google hoặc Amazon thu thập, nhưng điểm khác biệt là tất cả dữ liệu Pushwoosh ở Mỹ được gửi đến các máy chủ do một công ty (Pushwoosh) tại Nga kiểm soát".
Roskomnadzor, cơ quan quản lý truyền thông Nga, đã không trả lời câu hỏi từ Reuters.
Địa chỉ giả, hồ sơ giả
Trong các hồ sơ quy định của Mỹ và trên phương tiện truyền thông xã hội, Pushwoosh không bao giờ đề cập đến các liên kết với Nga của mình. Pushwoosh liệt kê "Washington" như vị trí của công ty trên Twitter và tuyên bố địa chỉ văn phòng là một ngôi nhà ở ngoại ô thị trấn Kensington, bang Maryland (Mỹ), theo hồ sơ mới nhất được gửi cho thư ký bang Delaware. Pushwoosh cũng liệt kê địa chỉ tại bang Maryland trên hồ sơ Facebook và LinkedIn.
Ngôi nhà ở Kensington là nhà người bạn quốc tịch Nga của Max Konev (nhà sáng lập Pushwoosh). Anh này nói rằng không liên quan gì đến Pushwoosh và chỉ đồng ý cho phép Max Konev sử dụng địa chỉ nhà để nhận thư. Max Konev cho biết Pushwoosh đã bắt đầu sử dụng địa chỉ ở Kensington để "nhận thư về công việc" trong đại dịch.
Max Konev nói anh đang điều hành Pushwoosh từ Thái Lan nhưng không đưa ra bằng chứng nào cho thấy công ty đã được đăng ký ở đó. Reuters không thể tìm thấy một công ty nào có tên đó trong cơ quan đăng ký công ty Thái Lan.
Pushwoosh chưa bao giờ đề cập đến công ty có trụ sở tại Nga trong 8 hồ sơ hàng năm ở bang Delaware, một thiếu sót có thể vi phạm luật tiểu bang. Thay vào đó, Pushwoosh liệt kê một địa chỉ ở Union City, bang California, Mỹ là địa điểm kinh doanh chính từ năm 2014 đến 2016. Địa chỉ đó không tồn tại, theo các quan chức của Union City.
Pushwoosh đã sử dụng tài khoản LinkedIn có chủ đích về hai giám đốc tại Washington có tên Mary Brown và Noah O'Shea để bán hàng. Thế nhưng, cả Mary Brown và Noah O'Shea đều không phải là người thật, theo Reuters.
Bức ảnh thuộc về Mary Brown thực sự là của giáo viên dạy khiêu vũ người Áo, được chụp bởi một nhiếp ảnh gia ở Moscow (thủ đô Nga). Mary Brown nói với Reuters rằng cô không biết ảnh đã xuất hiện trên LinkedIn như thế nào.
Max Konev thừa nhận các tài khoản không phải là chính chủ. Ông nói Pushwoosh đã thuê một công ty tiếp thị vào năm 2018 để tạo ra chúng trong nỗ lực sử dụng phương tiện truyền thông xã hội để bán Pushwoosh, không che giấu nguồn gốc Nga của công ty.
LinkedIn cho biết đã xóa các tài khoản ảo này sau khi được Reuters cảnh báo.