نفوذ کد روسی به اپلیکیشن ارتش و مرکز کنترل و پیشگیری از بیماری‌ آمریکا

به گزارش پیوست، مرکز کنترل و پیشگیری از بیماری (CDC)، مهمترین آژانس مبارزه با تهدیدهای درمانی آمریکا، می‌گوید پوش‌ووش با فریب آنها، خود به عنوان شرکتی واقع در پایتخت ایالات متحده معرفی کرده است. پس از گزارش رویترز درمورد ریشه‌های روسی این شرکت، پوش‌ووش به دلیل نگرانی‌های امنیتی از هفت اپلیکیشن عمومی حذف شد.

ارتش آمریکا هم می‌گوید اپلیکیشنی حاوی کد پوش‌ووش را به دلیل نگرانی‌های مشابه در ماه مارس حذف کرده است. سربازان آمریکایی در یکی از پایگاه‌های مهم آموزشی از این اپلیکیشن استفاده می‌کردند.

براساس مستندات عمومی پوش‌ووش در روسیه که به رویت رویترز رسیده است، دفتر مرکزی این شرکت واقع در شهر نووسیبیرسک است و در این شهر به عنوان یک شرکت نرم‌افزاری و پردازنده داده به ثبت رسیده است. پوش‌ووش با حدود ۴۰ کارمند و درآمد ۲.۴ میلیون دلار در سال گذشته به دولت روسیه مالیات پرداخت می‌کند.

با این حال در مستندات رگولاتوری ایالات متحده و شبکه‌اجتماعی پوش‌ووش به عنوان یک شرکت آمریکایی واقع در کالیفرنیا، مریلند و واشنگتن‌ دی‌سی معرفی شده است.

پوش‌ووش خدماتی همچون پشتیبانی از پردازش داده و ارائه کد را در اختیار توسعه‌دهندگان نرم‌افزار قرار می‌دهد و درنتیجه می‌تواند فعالیت کاربران اپلیکیشن را نمایه‌بندی کرده و پوش نوتیفیکیشن ارسال کند.

با این حال به گفته وب‌سایت شرکت، هیچ اطلاعات حساسی از سوی آنها جمع‌آوری نشده و رویترز هم مدرکی مبنی بر جمع‌آوری چنین اطلاعاتی پیدا نکرده است. اما مقامات روسی می‌توانند شرکت‌های داخلی را مجبور به واگذاری داده‌های کاربران کنند و شرکت باید اطلاعات خود را در صورت درخواست در اختیار آژانس‌های امنیتی قرار دهد.

مکس کونف، بنیان‌گذار پوش‌ووش، ماه سپتامبر در ایمیلی به رویترز گفت که تلاشی برای مخفی کردن ریشه روسی خود نداشته است. او گفت: «من به روسیه‌ای بودن افتخار می‌کنم و هیچوقت این موضوع را مخفی نمی‌کنم.»

او می‌گوید شرکت «در هیچ زمینه‌ای با دولت روسیه ارتباط ندارد» و داده‌های خود را در ایالات متحده و آلمان ذخیره می‌کند.

متخصصان امنیت سایبری می‌گویند ذخیره داده‌ها در خارج از روسیه مانعی برای آژانس‌های اطلاعاتی روسیه نیست و آنها می‌توانند شرکت را مجبور به واگذاری اطلاعات کنند.

روسیه که روابطش با غرب درنتیجه حمله به اوکراین دچار مشکل شده است به گفته مقامات غربی در حوزه هک و جاسوسی سایبری، جاسوسی از دولت‌ها و صنایع خارجی فعالیت دارد.

حجم عظیمی از اطلاعات

کد پوش‌ووش در چندین اپلیکیشن بین‌المللی، از خیریه‌های با نفوذ و آژانس‌های دولتی گرفته تا شرکت تولیدی Unilever بریتانیا و حتی یوفا و NRA، لابی قدرتمند اسلحه در آمریکا و حزب کارگری بریتانیا نصب شده است.

به گفته ۱۰ متخصص حقوقی،‌ همکاری پوش‌ووش با آژانس‌های دولتی و شرکت‌های خصوصی آمریکایی ممکن است به نقض مقررات قرارداد و کمیسیون تجارت فدرال (FTC) و یا حتی تحریم منتهی شود.

طبق داده‌های وب‌سایت اطلاعاتی Appfigures، کد این شرکت در حدود ۸ هزار اپلیکیشن اکوسیستم گوگل و اپل جای گرفته است. طبق اعلام پوش‌ووش، بیش از ۲.۳ میلیارد دستگاه در پایگاه‌داده این شرکت ثبت شده‌اند.

متخصصان می‌گویند این شرکت داده‌های دقیق جغرافیایی کاربران خود را جمع‌آوری می‌کند اما هنوز مدرکی دال بر تمایل پوش‌ووش به سو استفاده از این داده‌ها وجود ندارد.

مشکلات امنیتی

کریستن نوردلاند، سخنگوی CDC، می‌گوید این آژانس در پی انتشار گزارش رویترز و به دلیل نگرانی‌های امنیتی، کد این شرکت را از اپلیکیشن‌های خود حذف کرده است.

نوردلاند در بیانیه‌ای گفت: «CDC بر این باور بود که پوش‌ووش شرکتی واقع در واشنگتن دی‌سی است.»

به گزارش رویترز، کد این شرکت در اپلیکیشن اصلی CDC و چند اپلیکیشن دیگر اشتراک‌گذاری اطلاعات درمانی استفاده شده بود. ارتش آمریکا هم در ماه مارس یکی از اپلیکیشن‌های حاوی کد این شرکت را حذف کرده است. یوفا نیز مدعی است که قرارداد پوش‌ووش را با «یک شرکت آمریکایی» منعقد کرده است.

زک ادواردز، محقق امنیتی، می‌گوید: «پوش‌ووش داده‌هایی شبیه به فیس‌بوک، گوگل یا آمازون را جمع‌آوری می‌کند با این تفاوت که تمام داده‌های این شرکت در آمریکا به سرورهای تحت کنترلش در روسیه ارسال می‌شود.»

آدرس و پروفایل جعلی

پوش‌ووش در هیچکدام از مستندات رگولاتوری خود در آمریکا و یا صفحه‌های شبکه اجتماعی اشاره‌ای به روسیه نکرده است. این شرکت در توییتر «واشنگتن دی‌سی» را به عنوان مکان خود معرفی می‌کند و براساس آخرین مستندات دولتی، دفتر این شرکت در حوالی شهر کنسینگتون در ایالت مریلند واقع شده است. پروفایل فیس‌بوک و لینک‌دین پوش‌ووش به همین آدرس اشاره می‌کنند.

اما آدرس کینسگتون متعلق به منزل یکی از دوستان روسی کونف است که در مصاحبه با رویترز گفت، هیچ ارتباطی با شرکت نداشته و تنها موافقت کرده تا نامه‌های شرکت را در این آدرس دریافت کند. پوش‌ووش در مستندات سالانه‌ای که طی هشت ساله گذشته به ایالت دلاور آمریکا ارائه کرده به ریشه روسی خود اشاره‌ای نداشته است.

منبع: Reuters