苹果强烈否认彭博社中国黑客报道,要求撤稿

bloomberg 大黑客

十月初,彭博社发表了一篇爆炸性文章,揭露了由国家支持的中国特工实施的非凡硬件黑客攻击行动。 “大黑客: 《中国如何使用微型芯片渗透美国公司》详细介绍了中国人民解放军 (PLA) 将微型芯片植入超微公司制造的服务器主板中的成功努力,以破坏这些系统并为其提供访问权限。这是一份内容广泛的报告,过于复杂,无法在此全面总结。要真正了解所有细节,您应该阅读原文。

文章引用了受影响公司和美国政府内部的许多消息来源,解释说解放军渗透到超微或其供应商中,将微型硬件芯片(如削尖的铅笔尖小)偷偷植入服务器主板中。 Super Micro 是全球最大的此类硬件生产商之一,为国防部、国土安全部、NASA、国会以及许多全球最大的公司提供使用的硬件。彭博社称,此次攻击最终波及了近 30 家公司。

编者按:2018 年 10 月 19 日更新,BuzzFeed 的一篇报道称,苹果首席执行官蒂姆·库克 (Tim Cook) 呼吁彭博社撤回其报道。

苹果首席执行官蒂姆·库克呼吁撤回

BuzzFeed 文章于 10 月 19 日发布,苹果首席执行官蒂姆·库克 (Tim Cook) 告诉 BuzzFeed,”[彭博社关于苹果的报道”,并呼吁彭博社撤回其报道。库克在该公司进行自行调查后呼吁采取行动。库克告诉 BuzzFeed:

<块引用> “我们让公司发生了翻天覆地的变化,”库克说。 “电子邮件搜索、数据中心记录、财务记录、货运记录。我们确实对公司进行了取证式的深入调查,每次我们都得出相同的结论:这并没有发生。这没有事实依据。”

Apple 连接

彭博社的文章称苹果是硬件黑客计划的受害者之一。

<块引用>

苹果公司多年来一直在其数据中心偶尔使用超微硬件,但这种关系在 2013 年之后得到加强,当时苹果公司收购了一家名为 Topsy Labs 的初创公司,该公司创建了用于索引和搜索大量互联网资源的超高速技术内容。到 2014 年,这家初创公司开始在全球主要城市或附近建设小型数据中心。据三名苹果高级内部人士透露,这个项目在内部被称为 Ledbelly,旨在使苹果语音助手 Siri 的搜索功能更快。

《商业周刊》看到的文件显示,2014 年,苹果计划订购 6,000 多台 Super Micro 服务器安装在 17 个地点,包括阿姆斯特丹、芝加哥、香港、洛杉矶、纽约、圣何塞、新加坡和东京,加上现有的北卡罗来纳州和俄勒冈州数据中心的 4,000 台服务器。到 2015 年,这些订单预计会增加一倍,达到 20,000 个。莱德贝利使苹果公司成为超微公司的重要客户,与此同时,解放军被发现操纵该供应商的硬件。

彭博社表示,当苹果公司的安全团队发现这些微小的隐藏附加芯片时,苹果公司最终已经部署了大约 7,000 台 Super Micro 服务器。它声称苹果公司在 2015 年发现了被入侵的服务器,并向联邦调查局报告了该问题,但”严格保留了所检测到的内容的详细信息,甚至在内部也是如此。”文章援引一位不愿透露姓名的美国官员的话说,苹果不允许政府调查人员访问其设施或有问题的硬件。

苹果的回应

彭博亚马逊、苹果对其故事的发布回应 、超微和中国外交部。苹果的回应是详细而有力的否认:

<块引用>

在过去的一年里,彭博社多次联系我们,声称苹果公司发生了一起安全事件,这些说法有时含糊不清,有时详尽。每一次,我们都会根据他们的询问进行严格的内部调查,但每次我们都没有发现任何证据支持他们。我们一再、始终如一地提供事实回应,并记录在案,几乎驳斥了彭博社与苹果有关的故事的各个方面。

对此我们可以非常明确:苹果从未在任何服务器中发现恶意芯片、”硬件操纵”或故意植入的漏洞。苹果从未就此类事件与联邦调查局或任何其他机构进行过任何联系。我们不知道联邦调查局 (FBI) 进行过任何调查,也不知道我们在执法部门的联系人。

针对彭博社最新版本的叙述,我们提出以下事实:Siri 和 Topsy 从未共享服务器; Siri 从未部署在 Super Micro 出售给我们的服务器上; Topsy 数据仅限于大约 2,000 台 Super Micro 服务器,而不是 7,000 台。尚未发现这些服务器中存在恶意芯片。

实际上,在 Apple 将服务器投入生产之前,我们会检查其是否存在安全漏洞,并且我们会使用最新的保护措施更新所有固件和软件。我们按照标准程序更新固件和软件时,并未发现从 Super Micro 购买的服务器存在任何异常漏洞。

我们深感失望的是,彭博社的记者在与我们打交道时并未承认他们或他们的消息来源可能是错误或误导的。我们最好的猜测是,他们将自己的故事与之前报道的 2016 年事件混淆了,当时我们在一个实验室的一台 Super Micro 服务器上发现了受感染的驱动程序。这一一次性事件被确定为意外事件,而非针对 Apple 的针对性攻击。

虽然没有人声称涉及客户数据,但我们认真对待这些指控,并且希望用户知道我们会尽一切努力保护他们委托给我们的个人信息。我们还希望他们知道彭博社有关苹果的报道是不准确的。

Apple 始终坚信我们处理和保护数据的方式应保持透明。如果真有彭博新闻社声称的这样的事件,我们将及时报告,并与执法部门密切合作。 Apple 工程师定期进行严格的安全检查,以确保我们的系统安全。我们知道安全是一场永无休止的竞赛,这就是为什么我们不断强化我们的系统,以应对日益复杂的黑客和网络犯罪分子想要窃取我们的数据的情况。

这可能只是开始

作为一家将隐私和安全作为其身份核心部分的公司,苹果公司因一次重大黑客丑闻而损失惨重,即使其服务器供应商应该承担大部分责任。它也是世界上最有价值的上市公司,可能会因歪曲此类严重安全问题的事实而受到严厉处罚。

苹果的声明几乎没有留下任何解释的空间。该公司声称”从未发现任何服务器中故意植入的恶意芯片、硬件操纵或漏洞”是完全明确的,该公司从未与联邦调查局或任何其他机构就此进行过联系。

彭博社则表示,它拥有三名苹果内部人士和六名美国官员中的四名的详细描述,证实苹果是受害者。

考虑到该报告的严重性,以及其潜在的财务、法律和外交影响,我们可能会在未来几天和几周内听到更多有关它的信息。