Pushwoosh: wanneer meldingen plots Russisch blijken te zijn
We staan niet meer stil bij de pushmeldingen die continu op onze telefoons verschijnen. Toch is er achter de schermen heel wat aan de hand: die pushmeldingen versturen zichzelf namelijk niet, maar moeten in de app geprogrammeerd worden. Dat is een tijdsintensieve taak, die daarom dikwijls uitbesteedt wordt naar externe bedrijven. Een van die bedrijven is Pushwoosh. Zij voorzien ontwikkelaars van de code die voor de pushmeldingen zorgt.
Tot voor kort stond Pushwoosh te boek als een Amerikaans bedrijf. In die hoedanigheid deed het bedrijf zaken met Amerikaanse organisaties en multinationals zoals het ‘Center for Disease Control and Prevention’ (CDC), het Amerikaanse leger, de NRA, UEFA en Unilever. Onderzoek van Reuters toont echter aan dat het in werkelijkheid geen Amerikaans bedrijf is. Volgens bedrijfsdocumenten bevindt het hoofdkwartier van Pushwoosh zich in het Russische Novosibirsk en betaalt het belastingen aan de Russische overheid.
Misvatting
Hoe kon de misvatting dat Pushwoosh Amerikaans zou zijn dan tot stand komen? Op de jaarverslagen die het in Amerika indiende, staat telkens “Washington, D.C.” vermeld als hoofdlocatie, terwijl het hoofdkantoor zich in het nabije Kensington zou bevinden. Eenmaal bij dat huis aangekomen, stelden journalisten van Reuters vast dat er helemaal geen kantoor aanwezig was. De bewoner van het pand zou een vriend zijn van Pushwoosh-CEO Max Konev. Ook op Facebook en verschillende LinkedIn-profielen werd dit adres gebruikt. Later bleken deze LinkedIn-profielen ook nog eens vals te zijn.
Aangezien Pushwoosh in de Amerikaanse staat Delaware geregistreerd staat, dient het daar ook zijn jaarrekening te publiceren. In geen van die jaarrekeningen is het woord ‘Rusland’ terug te vinden. Het adres dat hier aangegeven wordt voor de periode 2014-2016 blijkt overigens niet te bestaan.
‘Niet de bedoeling’
Max Konev, de CEO van Pushwoosh, zegt in een reactie aan Reuters dat hij een “trotse Rus” is en zijn afkomst nooit zou willen verbergen. Ook zegt hij dat zijn bedrijf geen banden heeft met de Russische overheid en dat alle data netjes in de Verenigde Staten en Duitsland opgeslagen worden. Desalniettemin blijft Pushwoosh een Russisch bedrijf dat door veiligheidsdiensten onder druk gezet kan worden om informatie te delen. Volgens cybersecurity-experts is dit dus geen garantie dat gebruikersgegevens veilig zijn.
Verder zegt de CEO dat het nooit de bedoeling was om de Russische roots van Pushwoosh verborgen te houden. In 2018 zou het bedrijf wel een marketingbureau hebben ingehuurd om een mediastrategie uit te stippelen. Op die manier wou Pushwoosh, via sociale media, aan meer klanten geraken. De valse LinkedIn-profielen werden volgens Konev gecreëerd in het licht van deze campagne.
8.000 apps
Volgens Reuters wordt er Pushwoosh-code gebruikt in minstens 8000 apps. Die zijn zowel in de Play Store als de App Store te vinden. Over welke apps het precies gaat werd niet gecommuniceerd. Verschillende van die applicaties zijn of waren ook in gebruik door Amerikaanse overheidsdiensten. Zij zetten ondertussen de samenwerking met Pushwoosh stop.
Vooralsnog zijn er nog geen sporen van verdachte activiteiten gevonden. De code die Pushwoosh aanlevert bevat geen achterdeurtjes of verregaande tracking-mechanismen. Het Amerikaanse leger zegt zelf dat er geen data gelekt werd via Pushwoosh-notificaties. Voorzichtigheidshalve besloten verschillende apps toch maar om Pushwoosh niet meer te gebruiken, uit angst dat Rusland gebruikersdata zou kunnen inkijken.
We staan niet meer stil bij de pushmeldingen die continu op onze telefoons verschijnen. Toch is er achter de schermen heel wat aan de hand: die pushmeldingen versturen zichzelf namelijk niet, maar moeten in de app geprogrammeerd worden. Dat is een tijdsintensieve taak, die daarom dikwijls uitbesteedt wordt naar externe bedrijven. Een van die bedrijven is Pushwoosh. Zij voorzien ontwikkelaars van de code die voor de pushmeldingen zorgt.
Tot voor kort stond Pushwoosh te boek als een Amerikaans bedrijf. In die hoedanigheid deed het bedrijf zaken met Amerikaanse organisaties en multinationals zoals het ‘Center for Disease Control and Prevention’ (CDC), het Amerikaanse leger, de NRA, UEFA en Unilever. Onderzoek van Reuters toont echter aan dat het in werkelijkheid geen Amerikaans bedrijf is. Volgens bedrijfsdocumenten bevindt het hoofdkwartier van Pushwoosh zich in het Russische Novosibirsk en betaalt het belastingen aan de Russische overheid.
Misvatting
Hoe kon de misvatting dat Pushwoosh Amerikaans zou zijn dan tot stand komen? Op de jaarverslagen die het in Amerika indiende, staat telkens “Washington, D.C.” vermeld als hoofdlocatie, terwijl het hoofdkantoor zich in het nabije Kensington zou bevinden. Eenmaal bij dat huis aangekomen, stelden journalisten van Reuters vast dat er helemaal geen kantoor aanwezig was. De bewoner van het pand zou een vriend zijn van Pushwoosh-CEO Max Konev. Ook op Facebook en verschillende LinkedIn-profielen werd dit adres gebruikt. Later bleken deze LinkedIn-profielen ook nog eens vals te zijn.
Aangezien Pushwoosh in de Amerikaanse staat Delaware geregistreerd staat, dient het daar ook zijn jaarrekening te publiceren. In geen van die jaarrekeningen is het woord ‘Rusland’ terug te vinden. Het adres dat hier aangegeven wordt voor de periode 2014-2016 blijkt overigens niet te bestaan.
‘Niet de bedoeling’
Max Konev, de CEO van Pushwoosh, zegt in een reactie aan Reuters dat hij een “trotse Rus” is en zijn afkomst nooit zou willen verbergen. Ook zegt hij dat zijn bedrijf geen banden heeft met de Russische overheid en dat alle data netjes in de Verenigde Staten en Duitsland opgeslagen worden. Desalniettemin blijft Pushwoosh een Russisch bedrijf dat door veiligheidsdiensten onder druk gezet kan worden om informatie te delen. Volgens cybersecurity-experts is dit dus geen garantie dat gebruikersgegevens veilig zijn.
Verder zegt de CEO dat het nooit de bedoeling was om de Russische roots van Pushwoosh verborgen te houden. In 2018 zou het bedrijf wel een marketingbureau hebben ingehuurd om een mediastrategie uit te stippelen. Op die manier wou Pushwoosh, via sociale media, aan meer klanten geraken. De valse LinkedIn-profielen werden volgens Konev gecreëerd in het licht van deze campagne.
8.000 apps
Volgens Reuters wordt er Pushwoosh-code gebruikt in minstens 8000 apps. Die zijn zowel in de Play Store als de App Store te vinden. Over welke apps het precies gaat werd niet gecommuniceerd. Verschillende van die applicaties zijn of waren ook in gebruik door Amerikaanse overheidsdiensten. Zij zetten ondertussen de samenwerking met Pushwoosh stop.
Vooralsnog zijn er nog geen sporen van verdachte activiteiten gevonden. De code die Pushwoosh aanlevert bevat geen achterdeurtjes of verregaande tracking-mechanismen. Het Amerikaanse leger zegt zelf dat er geen data gelekt werd via Pushwoosh-notificaties. Voorzichtigheidshalve besloten verschillende apps toch maar om Pushwoosh niet meer te gebruiken, uit angst dat Rusland gebruikersdata zou kunnen inkijken.