Un recente scoop della Reuters ha rivelato che le applicazioni mobili dell’esercito americano e dei Centri per il controllo e la prevenzione delle malattie (CDC) integravano un software che inviava i dati dei visitatori a un’azienda russa chiamata Pushwoosh, che sostiene di avere sede negli Stati Uniti. Ma questa storia ha omesso un importante dettaglio storico su Pushwoosh: nel 2013, uno dei suoi sviluppatori ha ammesso di aver creato il Trojan Pincer, un malware progettato per intercettare e inoltrare in modo surrettizio i messaggi di testo dai dispositivi mobili Android. Pushwoosh afferma di essere una società con sede negli Stati Uniti che fornisce codice agli sviluppatori di software per profilare gli utenti di app per smartphone in base alla loro attività online, consentendo loro di inviare notifiche su misura. Ma una recente indagine di Reuters ha sollevato dubbi sulla reale ubicazione dell’azienda e sulla sua veridicità. L’esercito ha dichiarato a Reuters di aver rimosso un’applicazione contenente Pushwoosh a marzo, citando “problemi di sicurezza”. L’applicazione dell’esercito era utilizzata dai soldati di una delle principali basi di addestramento al combattimento della nazione.
La Reuters ha dichiarato che anche il CDC ha recentemente rimosso il codice di Pushwoosh dalla sua app per problemi di sicurezza, dopo che i giornalisti hanno informato l’agenzia che Pushwoosh non aveva sede nell’area di Washington D.C. – come aveva dichiarato la società – ma era invece gestito da Novosibirsk, in Russia. Il software di Pushwoosh è stato trovato anche in applicazioni per “un’ampia gamma di aziende internazionali, influenti organizzazioni non profit e agenzie governative, dall’azienda globale di beni di consumo Unilever e dall’Unione delle associazioni calcistiche europee (UEFA) alla potente lobby politica statunitense delle armi, la National Rifle Association (NRA), e al partito laburista britannico”. Il fondatore dell’azienda, Max Konev, ha dichiarato a Reuters che Pushwoosh “non ha alcun tipo di legame con il governo russo” e che archivia i propri dati negli Stati Uniti e in Germania. Ma Reuters ha scoperto che, mentre i social media e i documenti normativi statunitensi presentano Pushwoosh come una società statunitense con sede in California, Maryland e Washington D.C., i dipendenti dell’azienda si trovano a Novosibirsk, in Russia. Reuters ha anche appreso che l’indirizzo della società in California non esiste e che due account LinkedIn di dipendenti di Pushwoosh a Washington D.C. erano falsi.
“Pushwoosh non ha mai menzionato la sua sede in Russia negli otto documenti annuali depositati nello stato americano del Delaware, dove è registrata, un’omissione che potrebbe violare la legge statale”, ha riferito Reuters. Pushwoosh ha ammesso che i profili LinkedIn erano falsi, ma ha detto che erano stati creati da una società di marketing per promuovere gli affari dell’azienda, non per travisare la sua sede. Pushwoosh ha dichiarato a Reuters di aver utilizzato indirizzi nell’area di Washington D.C. per “ricevere corrispondenza commerciale” durante la pandemia di coronavirus. Un esame della presenza online del fondatore di Pushwoosh tramite Constella Intelligence mostra che il suo indirizzo e-mail di Pushwoosh era collegato a un numero di telefono di Washington, D.C. che era anche collegato a indirizzi e-mail e profili di account di oltre una dozzina di altri dipendenti di Pushwoosh.
