簡要內容
聯邦檢察官逮捕了三名矽谷工程師,指控他們從谷歌及其他公司竊取敏感晶片安全貿易秘密,並將其傳送至未經授權的地點,包括伊朗,引發國家安全疑慮。 美國加州北區聯邦地方法院的大陪審團已對Samaneh Ghandali、Soroor Ghandali與Mohammadjavad Khosravi提出起訴。根據司法部(DOJ)的聲明,起訴書於週三提交,週四在聖荷西公開。 據稱,Samaneh Ghandali在谷歌任職期間,曾“將數百個文件,包括谷歌的貿易秘密,傳送至第三方通訊平台”,這些渠道都以每位被告的名字命名,司法部表示。 目前尚未立即取得未封存的起訴書副本。_Decrypt_已聯繫相關司法部門尋求進一步資訊與評論。
三人被指控利用在谷歌及另外兩家未具名公司工作的身份,存取與行動電腦處理器相關的機密文件。司法部指出,竊取的資料包括與處理器安全和密碼學相關的貿易秘密,谷歌的資料後來被複製到個人裝置及與被告所工作的其他公司相關的工作裝置上。 檢方指控,被告試圖隱瞞行為,通過刪除文件、破壞電子記錄,以及向受害公司提交虛假宣誓書,否認曾將機密資訊分享至公司外部。 在起訴書描述的一個事件中,司法部指控,2023年12月,在前往伊朗的前夜,Samaneh Ghandali拍攝了約二十幾張顯示貿易秘密資訊的公司工作電腦螢幕照片。 她在伊朗期間,與她相關的裝置曾存取這些照片,Khosravi則被指控存取了其他貿易秘密資料。
據司法部稱,谷歌的內部安全系統在2023年8月偵測到可疑活動,並撤銷了Samaneh Ghandali的存取權。起訴書指控,她後來簽署了一份宣誓書,聲稱未將谷歌的機密資訊分享至公司外部。 三名被告均被控以共謀和竊取貿易秘密的聯邦法律罪名,以及妨礙司法的罪名,該罪名涉及惡意篡改、破壞或隱藏記錄或其他物品,以妨礙官方程序的使用。 妨礙司法的最高刑期為20年監禁。 風險與安全影響 觀察人士表示,此案彰顯內部人員存取先進半導體與密碼系統可能帶來的國家安全風險。 Kronos Research的首席投資官Vincent Liu對_Decrypt_表示:“具有合法存取權的員工可以在長時間內悄悄提取高度敏感的智慧財產,即使已有控制措施。” 他補充,半導體與密碼公司面臨的風險多來自“可信的內部人員,而非駭客”,並形容內部人員風險為“一個持續存在、結構性的漏洞,需要不斷監控與嚴格的資料隔離。” 在這種情況下,“內部人員就是攻擊面,”加密基礎設施開發商Horizontal Systems的策略主管Dan Dadybayo告訴_Decrypt_。“當資料外洩的途徑是合法存取時,防火牆就失去了意義,”他認為,工程師能將“架構、金鑰管理邏輯或硬體安全設計”移出受控環境時,“邊界”就會崩潰。 如果敏感的處理器與密碼學智慧財產流入伊朗,Dadybayo表示,監管機構可能會採取強硬措施。
他提到“更嚴格執行所謂出口規則,將知識存取本身視為出口”,以及“在美國公司內實施更嚴格的分割、監控與許可制度”,並補充說,先進晶片與密碼學“不再被視為中立的商業商品”,而是“地緣政治力量的工具”。 此案也揭示了正式合規與實際韌性之間的差距。 Crypto安全與合規公司Hacken的執行董事Dyma Budorin對_Decrypt_表示:“在大多數科技組織中,資訊盜竊風險被認為可以通過取得SOC 2和ISO認證來降低。” 他指出,這些框架“通常衡量合規成熟度,而非對抗有決心的攻擊者——尤其是內部人員的實際韌性。” 他說,認證證明“在審核時控制措施存在”,但“不能證明敏感資料不會被竊取。” 由於這些標準規定了常見的安全措施,Budorin認為,它們可能使防禦變得可預測。 對於高級攻擊者來說,“合規”往往意味著可預測,他警告,真正的安全需要“持續驗證、行為監控與對抗測試”,否則組織可能“紙上合規,實際卻危機四伏”。
