联邦检察官逮捕了三名硅谷工程师,他们被控从谷歌和其他公司窃取敏感的芯片安全商业机密,并将其发送到未经授权的地点,包括伊朗,这引发了国家安全担忧。
美国加州北区地方法院的一个联邦大陪审团对萨曼·甘达利、索鲁尔·甘达利和穆罕默德·贾瓦德·霍斯拉维提起诉讼。据美国司法部声明,该起诉书于周三提交,并于周四在圣何塞公开。
美国司法部称,萨曼内·甘达利在谷歌工作期间,涉嫌“将数百个文件(包括谷歌的商业秘密)传输到第三方通信平台”,传输到以每位被告名字命名的频道。
截至发稿时,尚未获得已解封的起诉书副本。DecryptDecrypt联系司法部相关部门以获取更多信息和评论。
据称,这三人利用其在谷歌和其他两家未具名公司的职务之便,获取了与移动计算机处理器相关的机密文件。美国司法部表示,被盗资料包括与处理器安全和加密技术相关的商业秘密,而谷歌的资料随后被复制到个人设备以及被告就职的其他公司的工作设备上。
检方指控被告试图通过删除文件、销毁电子记录以及向受害公司提交虚假宣誓书来掩盖其行为,否认他们曾向公司外部泄露机密信息。
在起诉书中描述的一个事件中,美国司法部指控,2023 年 12 月,在前往伊朗的前一天晚上,萨曼·甘达利拍摄了大约二十几张另一家公司工作电脑屏幕上显示商业秘密信息的照片。
据称,霍斯拉维在伊朗期间,与她有关的设备访问了这些照片,并且据称她还访问了其他商业秘密材料。
据美国司法部称,谷歌的内部安全系统于2023年8月检测到可疑活动,并撤销了萨曼妮·甘达利的访问权限。起诉书称,她后来签署了一份宣誓书,声明她没有将谷歌的机密信息泄露给公司外部。
三名被告均被控犯有联邦法律规定的共谋和窃取商业秘密罪,以及一项将以不正当手段篡改、销毁或隐瞒记录或其他物品以妨碍其在官方程序中使用定为犯罪的法令规定的妨碍司法罪。
妨碍司法公正罪的最高刑罚为 20 年监禁。
观察人士表示,此案表明,内部人员接触先进的半导体和加密系统可能会对国家安全造成影响。
Kronos Research 的首席投资官 Vincent Liu 告诉Decrypt :“即使有现有的控制措施,拥有合法访问权限的员工也可以随着时间的推移悄悄地提取高度敏感的知识产权。”
他补充说,半导体和密码公司面临的风险通常来自“值得信赖的内部人员,而不是黑客”,并将内部风险描述为“一种持续存在的结构性漏洞,需要不断监控和严格的数据隔离”。
在这种情况下,“内部人员就是攻击面”,加密基础设施开发商 Horizontal Systems 的战略主管 Dan Dadybayo 告诉Decrypt 。“当数据泄露途径是合法访问权限时,防火墙就毫无意义了,”他说道,并指出,当工程师能够将“架构、密钥管理逻辑或硬件安全设计从受控环境中移出时,‘边界’就会崩溃。”
Dadybayo表示,如果敏感处理器和加密知识产权落入伊朗,监管机构可能会采取强硬措施。
他指出,“对视同出口规则的执行力度加大,知识获取本身就被视为出口”,以及“美国公司内部更严格的划分、监控和许可要求”,并补充说,先进芯片和密码技术“不再被视为中立的商业商品”,而是“地缘政治权力的工具”。
该案例也暴露了形式上的合规与现实世界的韧性之间的差距。
“在大多数技术组织中,人们认为通过获得 SOC 2 和 ISO 认证可以降低信息盗窃风险,”加密安全和合规公司 Hacken 的执行主席 Dyma Budorin 告诉Decrypt 。
此类框架“通常衡量的是合规成熟度,而不是抵御坚定攻击者(尤其是内部攻击者)的实际韧性”。
他表示,认证证明“在审计时”存在控制措施,但“这并不能证明敏感数据不会被窃取”。
布多林认为,由于这些标准规定了共同的保障措施,因此可能会使防御措施变得可预测。
他补充说,对于老练的攻击者而言,“合规”通常意味着可预测,并警告说,真正的安全需要“持续验证、行为监控和对抗性测试”,否则组织就有可能“纸面上合规,但在实践中却面临严重风险”。
