聯邦檢察官逮捕了三名硅谷工程師,他們被控從谷歌和其他公司竊取敏感的芯片安全商業機密,並將其發送到未經授權的地點,包括伊朗,這引發了國家安全擔憂。
美國加州北區地方法院的一個聯邦大陪審團對薩曼·甘達利、索魯爾·甘達利和穆罕默德·賈瓦德·霍斯拉維提起訴訟。據美國司法部聲明,該起訴書於週三提交,並於週四在聖何塞公開。
美國司法部稱,薩曼內·甘達利在谷歌工作期間,涉嫌“將數百個文件(包括谷歌的商業秘密)傳輸到第三方通信平臺”,傳輸到以每位被告名字命名的頻道。
截至發稿時,尚未獲得已解封的起訴書副本。DecryptDecrypt聯繫司法部相關部門以獲取更多信息和評論。
據稱,這三人利用其在谷歌和其他兩家未具名公司的職務之便,獲取了與移動計算機處理器相關的機密文件。美國司法部表示,被盜資料包括與處理器安全和加密技術相關的商業秘密,而谷歌的資料隨後被複制到個人設備以及被告就職的其他公司的工作設備上。
檢方指控被告試圖通過刪除文件、銷燬電子記錄以及向受害公司提交虛假宣誓書來掩蓋其行為,否認他們曾向公司外部洩露機密信息。
在起訴書中描述的一個事件中,美國司法部指控,2023 年 12 月,在前往伊朗的前一天晚上,薩曼·甘達利拍攝了大約二十幾張另一家公司工作電腦屏幕上顯示商業秘密信息的照片。
據稱,霍斯拉維在伊朗期間,與她有關的設備訪問了這些照片,並且據稱她還訪問了其他商業秘密材料。
據美國司法部稱,谷歌的內部安全系統於2023年8月檢測到可疑活動,並撤銷了薩曼妮·甘達利的訪問權限。起訴書稱,她後來簽署了一份宣誓書,聲明她沒有將谷歌的機密信息洩露給公司外部。
三名被告均被控犯有聯邦法律規定的共謀和竊取商業秘密罪,以及一項將以不正當手段篡改、銷燬或隱瞞記錄或其他物品以妨礙其在官方程序中使用定為犯罪的法令規定的妨礙司法罪。
妨礙司法公正罪的最高刑罰為 20 年監禁。
觀察人士表示,此案表明,內部人員接觸先進的半導體和加密系統可能會對國家安全造成影響。
Kronos Research 的首席投資官 Vincent Liu 告訴Decrypt :“即使有現有的控制措施,擁有合法訪問權限的員工也可以隨著時間的推移悄悄地提取高度敏感的知識產權。”
他補充說,半導體和密碼公司面臨的風險通常來自“值得信賴的內部人員,而不是黑客”,並將內部風險描述為“一種持續存在的結構性漏洞,需要不斷監控和嚴格的數據隔離”。
在這種情況下,“內部人員就是攻擊面”,加密基礎設施開發商 Horizontal Systems 的戰略主管 Dan Dadybayo 告訴Decrypt 。“當數據洩露途徑是合法訪問權限時,防火牆就毫無意義了,”他說道,並指出,當工程師能夠將“架構、密鑰管理邏輯或硬件安全設計從受控環境中移出時,‘邊界’就會崩潰。”
Dadybayo表示,如果敏感處理器和加密知識產權落入伊朗,監管機構可能會採取強硬措施。
他指出,“對視同出口規則的執行力度加大,知識獲取本身就被視為出口”,以及“美國公司內部更嚴格的劃分、監控和許可要求”,並補充說,先進芯片和密碼技術“不再被視為中立的商業商品”,而是“地緣政治權力的工具”。
該案例也暴露了形式上的合規與現實世界的韌性之間的差距。
“在大多數技術組織中,人們認為通過獲得 SOC 2 和 ISO 認證可以降低信息盜竊風險,”加密安全和合規公司 Hacken 的執行主席 Dyma Budorin 告訴Decrypt 。
此類框架“通常衡量的是合規成熟度,而不是抵禦堅定攻擊者(尤其是內部攻擊者)的實際韌性”。
他表示,認證證明“在審計時”存在控制措施,但“這並不能證明敏感數據不會被竊取”。
布多林認為,由於這些標準規定了共同的保障措施,因此可能會使防禦措施變得可預測。
他補充說,對於老練的攻擊者而言,“合規”通常意味著可預測,並警告說,真正的安全需要“持續驗證、行為監控和對抗性測試”,否則組織就有可能“紙面上合規,但在實踐中卻面臨嚴重風險”。
