Reuters: Ngụy trang thành của Mỹ, phần mềm công ty Nga lọt vào Quân đội và CDC Mỹ

Hàng ngàn App (ứng dụng) trên Apple Store và Google Store hiện chứa mã của công ty Pushwoosh, tự giới thiệu như là công ty ở Mỹ nhưng thực ra là của người Nga, theo Reuters phát hiện và đưa tin. Thậm chí còn có các App lọt vào quân đội và CDC Hoa Kỳ đã được tìm ra và xử lý.

Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh (CDC) Hoa Kỳ, chuyên xử lý các vấn đề sức khỏe trên diện rộng, cho biết họ đã bị lừa khi tin rằng Pushwoosh có trụ sở tại thủ đô Hoa Kỳ. Sau khi nhờ Reuters mà biết thực ra đó là của người Nga, CDC đã xóa đi phần mã của Pushwoosh khỏi 7 App công khai của mình, vì lo ngại về an ninh bảo mật.

Quân đội Mỹ cho biết họ đã gỡ bỏ một App có chứa mã của Pushwoosh vào tháng 3 vì những lo ngại tương tự. App đó đã được binh lính trong một căn cứ huấn luyện chính thức của Hoa Kỳ sử dụng.

Căn cứ theo các tài liệu của công ty được nộp công khai tại Nga, như Reuters xem xét và đưa tin, thì Pushwoosh có trụ sở chính tại thị trấn Novosibirsk ở Siberia, và được đăng ký là một công ty phần mềm về xử lý số liệu, với khoảng 40 người và doanh thu báo cáo là 143.270.000 rúp (2,4 triệu đô la Mỹ) vào năm ngoái. Pushwoosh đăng ký với Chính phủ Nga, và nộp thuế tại Nga.

Tuy nhiên, trên phương tiện truyền thông xã hội và trong các hồ sơ pháp lý ở Hoa Kỳ, thì Pushwoosh thể hiện mình là một công ty Hoa Kỳ, có trụ sở tại nhiều nơi ở các thời điểm khác nhau như ở California, Maryland và Washington DC., như Reuters đã tìm hiểu.

Trên trang web của mình, Pushwoosh tuyên bố họ không thu thập thông tin nhạy cảm, và Reuters chưa tìm thấy bằng chứng nào về việc Pushwoosh đã lạm dụng số liệu của người dùng.

Tuy nhiên, thực tế hiện nay là chính quyền Nga bắt buộc các công ty hoạt động ở Nga phải giao số liệu khách hàng cho các cơ quan an ninh trong nước khi có yêu cầu.

Người sáng lập của Pushwoosh, ông Max Konev, nói với Reuters trong một email hồi tháng 9 rằng công ty không hề cố ý che giấu nguồn gốc xuất xứ từ Nga của mình. “Tôi tự hào là người Nga và tôi sẽ không bao giờ giấu giếm điều này”.

Ông cho biết công ty “không có mối liên hệ nào với Chính phủ Nga dưới bất kỳ hình thức nào” và công ty lưu trữ số liệu của mình ở Hoa Kỳ và Đức.

Tuy nhiên, các chuyên gia an ninh mạng cho biết rằng việc lưu trữ số liệu ở nước ngoài là không ảnh hưởng việc cơ quan tình báo Nga buộc một công ty tại Nga phải trao quyền truy cập các số liệu đó.

Nga, quốc gia có quan hệ ngày càng xấu đi với phương Tây kể từ khi tiếp quản Bán đảo Crimea năm 2014 và từ khi Nga xâm lược Ukraine năm nay, hiện cùng với Trung Quốc là 2 quốc gia dẫn đầu thế giới về hack và gián điệp mạng, theo dõi các chính phủ và ngành công nghiệp nước ngoài để tìm kiếm lợi thế cạnh tranh, theo nhận định của nhiều quan chức phương Tây.

• Đã biết hacker vụ Medibank, Úc tuyên bố săn lùng tội phạm

Kho số liệu khổng lồ

Mã phần mềm của Pushwoosh đã được tìm thấy trong App của hàng loạt các công ty quốc tế, tổ chức phi lợi nhuận có ảnh hưởng và các cơ quan chính phủ, từ công ty hàng tiêu dùng toàn cầu Unilever Plc và Liên minh các Hiệp hội bóng đá châu Âu (UEFA) cho đến Hiệp hội Súng trường Quốc gia (NRA) và Đảng Lao động Anh quốc.

Việc kinh doanh của Pushwoosh với các cơ quan Chính phủ Hoa Kỳ và các công ty tư nhân có thể đã vi phạm hợp đồng và luật của Ủy ban Thương mại Liên bang Hoa Kỳ (FTC), và có thể kích hoạt các biện pháp trừng phạt, 10 chuyên gia pháp lý nói với Reuters như vậy. FBI, Bộ Tài chính Hoa Kỳ và FTC từ chối bình luận.

Jessica Rich, cựu giám đốc Cục Bảo vệ Người tiêu dùng của FTC, cho biết “loại trường hợp này thuộc thẩm quyền của FTC”, cơ cấu có thẩm quyền loại bỏ các hành vi lừa đảo hoặc không công bằng ảnh hưởng đến người tiêu dùng Hoa Kỳ.

Các chuyên gia cho biết, Washington có thể chọn áp đặt các biện pháp trừng phạt đối với Pushwoosh và có thẩm quyền rất rộng để làm vậy, bao gồm cả việc có thể thông qua một lệnh hành pháp năm 2021 cho phép Mỹ có khả năng nhắm vào lĩnh vực công nghệ của Nga với lý do hoạt động độc hại trên mạng.

Mã Pushwoosh đã được nhúng vào gần 8.000 App trên Google App Store và Apple App Store, theo Appfigures, một trang web về các App thông minh. Trang web của Pushwoosh cho biết họ có hơn 2,3 tỷ thiết bị được liệt kê trong cơ sở dữ liệu của mình.

Jerome Dangu, đồng sáng lập của Confiant, một công ty chuyên theo dõi việc lạm dụng dữ liệu được thu thập trong các chuỗi cung ứng quảng cáo trực tuyến cho biết: “Pushwoosh thu thập dữ liệu người dùng bao gồm cả vị trí địa lý chính xác, trên các App nhạy cảm và App của chính phủ”.

Ông nói thêm: “Trong các hoạt động của Pushwoosh, chúng tôi chưa tìm thấy bất kỳ dấu hiệu rõ ràng nào về cố ý lừa đảo hoặc ác ý. Nhưng hiển nhiên điều ấy không làm giảm nguy cơ số liệu trong App bị rò rỉ sang Nga”.

Google vẫn luôn tuyên bố quyền riêng tư là một “trọng tâm lớn” của công ty, nhưng Google đã không trả lời khi được yêu cầu bình luận về vụ Pushwoosh. Apple cũng luôn tuyên bố họ rất coi trọng sự tin tưởng và an toàn bảo mật của người dùng, nhưng họ cũng từ chối trả lời các câu hỏi liên quan vụ việc này.

Keir Giles, một chuyên gia về Nga tại tổ chức tư vấn Chatham House ở London, cho biết rằng tuy hiện có các lệnh trừng phạt của quốc tế đối với Nga, nhưng “một số lượng đáng kể” các công ty Nga vẫn kinh doanh ở nước ngoài và thu thập dữ liệu cá nhân của mọi người.

Với tình hình luật an ninh nội địa của Nga hiện nay, thì “không có gì lạ khi một công ty có nguồn gốc Nga, dù có liên quan trực tiếp đến các hoạt động gián điệp của Chính phủ Nga hay không, thì cũng không muốn tỏ rõ nguồn gốc Nga của mình”, ông nói.

• Úc: Medibank có thể phải chịu trách nhiệm pháp lý vì bị tin tặc đột nhập

Vấn đề an ninh bảo mật

Người phát ngôn Kristen Nordlund của CDC cho biết, sau khi Reuters chỉ ra liên hệ với Nga của Pushwoosh, thì CDC đã xóa mã của Pushwoosh khỏi App của họ vì “công ty lo ngại về bảo mật”.

“CDC vẫn tưởng rằng Pushwoosh là một công ty có trụ sở tại khu vực Washington DC.”, Nordlund cho biết trong một tuyên bố. Bà nói rằng đó là dựa trên “các bài trình bày” của Pushwoosh.

Các App của CDC chứa mã Pushwoosh bao gồm App chính của cơ quan và những App khác dùng để chia sẻ thông tin y tế nhạy cảm nhiều phương diện. Ví như có App là hỗ trợ bác sĩ điều trị các bệnh lây truyền qua đường tình dục. Tuy CDC đúng là có dùng hệ thống thông báo của công ty cho các App về y tế như COVID, nhưng CDC khẳng định họ “không chia sẻ số liệu người dùng với Pushwoosh”.

Quân đội nói với Reuters rằng họ đã gỡ bỏ một App có chứa Pushwoosh vào tháng 3, cũng với lý do “an ninh bảo mật”. Tuy nhiên không đưa ra chi tiết rằng App đó, một App đóng vai cổng thông tin đã được dùng ở Trung tâm Huấn luyện Quốc gia (NTC) tại California, đã được quân đội sử dụng rộng rãi như thế nào.

NTC là một trung tâm huấn luyện chiến đấu lớn ở sa mạc Mojave dành cho binh lính trước khi tham gia hoạt động thực tế, có nghĩa là một lỗ hổng số liệu ở đó có thể làm tiết lộ các đợt chuyển quân sắp tới ở nước ngoài.

Người phát ngôn Quân đội Hoa Kỳ Bryce Dubee cho biết Quân đội không bị “mất dữ liệu hoạt động”, và cũng nói thêm rằng App đó không kết nối với mạng Quân đội.

Một số công ty và tổ chức lớn bao gồm UEFA và Unilever cho biết mã của Pushwoosh lọt được vào là vì bên thứ ba cài App cho họ, hoặc họ tưởng rằng họ đang thuê một công ty Mỹ.

“Chúng tôi không quan hệ trực tiếp với Pushwoosh”, Unilever cho biết trong một tuyên bố, đồng thời cho biết thêm rằng Pushwoosh đã bị xóa khỏi một trong các App của mình “một quãng thời gian trước”.

UEFA cho biết hợp đồng của họ với Pushwoosh là hợp đồng “với một công ty của Mỹ”. UEFA từ chối cho biết liệu họ có biết về mối quan hệ của Pushwoosh với Nga hay không, nhưng đã cho biết họ đang xem xét lại mối quan hệ với Pushwoosh sau khi được Reuters liên hệ.

NRA cho biết hợp đồng của họ với Pushwoosh đã kết thúc vào năm ngoái, và họ “không biết có tồn tại bất kỳ vấn đề gì”.

Đảng Lao động Anh quốc đã không trả lời yêu cầu bình luận.

“Thông tin mà Pushwoosh có thể thu thập được cũng tương tự thông tin mà Facebook, Google hoặc Amazon có thể thu thập, nhưng khác biệt là tất cả thông tin của Pushwoosh ở Mỹ được đặt trong các máy chủ do một công ty (Pushwoosh) ở Nga kiểm soát”, theo phân tích của Zach Edwards, một nhà nghiên cứu an ninh bảo mật, người đầu tiên phát hiện ra sự phổ biến của mã Pushwoosh khi làm việc cho Internet Safety Labs, một tổ chức phi lợi nhuận.

Roskomnadzor, cơ quan quản lý truyền thông nhà nước của Nga, đã không trả lời yêu cầu bình luận từ Reuters.

Địa chỉ giả, hồ sơ giả

Trong các hồ sơ lập theo quy định của Hoa Kỳ, và trong các thông tin trên các mạng xã hội, Pushwoosh không bao giờ đề cập đến mối liên hệ với Nga của mình. Công ty liệt kê “Washington DC.” như là địa điểm của mình trên Twitter và tuyên bố địa chỉ văn phòng của mình là một ngôi nhà ở ngoại ô Kensington, Maryland, theo hồ sơ công ty mới nhất được gửi cho chính quyền Delaware. Pushwood cũng liệt kê địa chỉ Maryland trên hồ sơ của mình ở Facebook và LinkedIn.

Ngôi nhà Kensington là nhà của một người bạn Nga của Konev, người đã nói chuyện với một nhà báo Reuters với điều kiện giấu tên. Anh nói rằng anh không liên quan gì đến Pushwoosh và chỉ đồng ý cho phép Konev sử dụng địa chỉ của anh để nhận thư từ.

Còn về địa chỉ ở Maryland, Konev cho biết Pushwoosh đã bắt đầu sử dụng địa chỉ đó để “nhận thư từ công việc” trong đại dịch COVID.

Anh cho biết hiện anh đang điều hành Pushwoosh từ Thái Lan nhưng không đưa ra bằng chứng nào cho thấy Pushwood được đăng ký ở Thái Lan. Reuters không thể tìm thấy một công ty nào có tên đó trong cơ quan đăng ký công ty Thái Lan.

Pushwoosh chưa bao giờ đề cập mình là công ty có trụ sở chính tại Nga trong 8 hồ sơ hàng năm phải báo cáo lên tiểu bang Delaware của Hoa Kỳ, nơi mà Pushwoosh đăng ký. Đây là một thiếu sót có thể tính là vi phạm luật tiểu bang.

Thay vào đó, Pushwoosh đã ghi trụ sở chính của mình từ năm 2014 đến năm 2016 là ở một địa chỉ ở Union City, California. Địa chỉ đó không tồn tại, theo các quan chức của Union City.

Pushwoosh đã cố ý sử dụng các tài khoản LinkedIn thuộc về hai giám đốc điều hành có trụ sở tại Washington DC., tên là Mary Brown và Noah O’Shea để bán sản phẩm của mình. Nhưng Reuters tìm hiểu và phát hiện cả Brown và O’Shea đều không phải là người thật.

Tài khoản thuộc về Brown thực ra là về một giáo viên dạy múa ở Áo, được chụp bởi một nhiếp ảnh gia ở Moscow. Cô đã nói với Reuters rằng cô không biết bức ảnh đó đã bằng cách nào mà xuất hiện trên mạng.

Konev đã thừa nhận các tài khoản không đó phải là ‘chính chủ’, và giải thích rằng ấy là do Pushwoosh đã thuê một công ty tiếp thị vào năm 2018 để tạo ra các tài khoản đó, để vận dụng phương tiện truyền thông xã hội mà bán sản phẩm của Pushwoosh, chứ không phải để che giấu nguồn gốc Nga của công ty.

Thiên Đức, theo Reuters

Xem thêm

Đã biết hacker vụ Medibank, Úc tuyên bố săn lùng tội phạm

Cảnh sát Liên bang Úc sẽ chính thức công bố băng đảng tội phạm Nga nào đứng sau vụ Medibank gây rất nhiều ảnh hưởng đến Úc thời gian này