דו"ח של בלומברג טוען שאפל, אמזון וכמעט 30 חברות אחרות היו מושא לפריצה של מרגלים סינים שהטמיעו שבבים בחומרה למטרות מעקב, סיפור שאפל הפריכה כעת פעמיים כ"שגוי ומידע מוטעה".
לפי הדיווחים, לשרתים שנבדקו על ידי אמזון הייתה מוטבעת חומרה נוספת על לוח האם, שנמצאה במהלך בדיקה ב-2015 של הסטארט-אפ Elemental Technologies שאמזון הייתה מעוניינת לרכוש.בלומברג כותבללוחות האם היה שבב נוסף בערך בגודל של גרגר אורז, זה לא היה חלק מהעיצוב המקורי.
לוחות האם של Elemental מיוצרים על ידי Supermicro. אפל הייתה מוכנה להזמין יותר מ-30,000 שרתים למרכזי הנתונים iCloud שלה מ-Supermicro במשך שנתיים.
השבבים אפשרו לכאורה לתוקפים לגשת ל"פתח חמקני לכל רשת" שבה היו ממוקמים המחשבים. המתקפה עם השבב היחיד הציעה לכאורה את הפוטנציאל ל"גישה חמקנית לטווח ארוך" שמצופה בדרך כלל מסוכנויות ריגול. ההתקפה היא קשה ביותר בהשוואה לפריצות מבוססות תוכנה, אבל יכולה להציע תוצאות הרבה יותר טובות, אם תצליח.
מלבד ריגול תאגידי, המתקפה עלולה להשפיע גם על הצבא האמריקני ואכיפת החוק. השרתים של אלמנטל שימשו את משרד ההגנה, פעולות המל"טים של ה-CIA, על ספינות מלחמה של חיל הים, בין מקומות רגישים אחרים.
בלומברגטוען כי מקורבים בכירים באפל הודיעו כי היא מצאה מספר שבבים זדוניים בלוחות Supermicro במאי 2015, לאחר שזיהתה פעילות מוזרה ברשת וקושחה. על פי הדיווחים, החברה הודיעה ל-FBI, אך שמרה את הפרטים של מה שחשפה בשקט, אפילו פנימי.
כמה שבועות לאחר הגילוי, אפל החלה להסיר את כל שרתי Supermicro ממרכזי הנתונים שלה, כאשר 7,000 יחידות מותקנות הוחלפו במשך תקופה קצרה. על פי הדיווח, אפל מכחישה שכל שרת הוסרו. אפל ניתקה לכאורה את הקשרים עם החברה ב-2016, מ"סיבות לא קשורות" לפי הדיווח.
עם זאת, אפל שונה עם החשבון כפי שנקבע בפרסום.
תגובת התעשייה
אפל סיפקה את ההצהרה הבאה לAppleInsiderועוד כמה מקומות.
במהלך השנה האחרונה, בלומברג יצרה איתנו קשר מספר פעמים עם טענות, לעתים מעורפלות ולעתים משוכללות, על אירוע אבטחה לכאורה באפל. בכל פעם ערכנו חקירות פנימיות קפדניות על סמך חקירותיהם ובכל פעם לא מצאנו שום ראיות שתומכות באף אחת מהן. הצענו שוב ושוב ובעקביות תגובות עובדתיות, על הכתב, והפרכנו כמעט כל היבט בסיפור של בלומברג הקשור לאפל.בעניין זה אנחנו יכולים להיות מאוד ברורים: אפל מעולם לא מצאה שבבים זדוניים, "מניפולציות חומרה" או נקודות תורפה שהושתלו בכוונה בשום שרת. לאפל מעולם לא היה שום קשר עם ה-FBI או כל סוכנות אחרת בנוגע לתקרית כזו. איננו מודעים לחקירה כלשהי של ה-FBI, וגם לא אנשי הקשר שלנו בתחום אכיפת החוק.
בתגובה לגרסה האחרונה של בלומברג לנרטיב, אנו מציגים את העובדות הבאות: סירי וטופסי מעולם לא שיתפו שרתים; Siri מעולם לא נפרסה על שרתים שנמכרו לנו על ידי Super Micro; ונתוני Topsy הוגבלו לכ-2,000 שרתי Super Micro, לא ל-7,000. אף אחד מהשרתים האלה לא נמצא אי פעם מכיל שבבים זדוניים.
כעניין של תרגול, לפני שהשרתים מוכנסים לייצור באפל הם נבדקים לאיתור פרצות אבטחה ואנו מעדכנים את כל הקושחה והתוכנה עם ההגנות העדכניות ביותר. לא חשפנו נקודות תורפה חריגות בשרתים שרכשנו מסופר מיקרו כאשר עדכנו את הקושחה והתוכנה לפי הנהלים הסטנדרטיים שלנו.
אנו מאוכזבים מאוד מכך שביחסיהם איתנו, כתבי בלומברג לא היו פתוחים לאפשרות שהם או המקורות שלהם עלולים לטעות או לקבל מידע מוטעה. הניחוש הטוב ביותר שלנו הוא שהם מבלבלים את הסיפור שלהם עם תקרית שדווחה בעבר ב-2016, שבה גילינו נהג נגוע בשרת Super Micro יחיד באחת המעבדות שלנו. אירוע חד פעמי זה נקבע כמקרי ולא מתקפה ממוקדת נגד אפל.
אמנם לא הייתה כל טענה שהיו מעורבים נתוני לקוחות, אך אנו מתייחסים להאשמות אלו ברצינות ואנו רוצים שהמשתמשים ידעו שאנו עושים כל שניתן כדי להגן על המידע האישי שהם מפקידים לנו. אנחנו גם רוצים שהם ידעו שמה שבלומברג מדווח על אפל אינו מדויק.
אפל תמיד האמינה בשקיפות לגבי הדרכים שבהן אנו מטפלים בנתונים ומגנים עליהם. אם היה אי פעם אירוע כזה כפי שטענת בלומברג ניוז, היינו מגיעים אליו והיינו עובדים בשיתוף פעולה הדוק עם גורמי אכיפת החוק. מהנדסי אפל עורכים בדיקות אבטחה קבועות וקפדניות כדי להבטיח שהמערכות שלנו בטוחות. אנחנו יודעים שאבטחה היא מירוץ אינסופי ולכן אנחנו כל הזמן מתחזקים את המערכות שלנו נגד האקרים ופושעי סייבר מתוחכמים יותר ויותר שרוצים לגנוב את הנתונים שלנו
מקורות בתוך אפל אינם מורשים לדבר בשם החברהAppleInsiderלפנות אליו ביום חמישי בבוקר כינה את ההאשמות על מתקפה נרחבת על אפל על ידי הווקטור הזה כ"מצחיקות" ו"ממש ממש שגויות". עם זאת, הם ציינו שהחברה נבדקת כל הזמן לאיתור חולשות בכל דרך מקוונת שאפשר להעלות על הדעת בכל שעה של יום.
מאוחר ביום חמישי, אפל הגדילה את הצהרתה בעניין.
הסיפור שפורסם ב-Businessweek גם טוען שאפל "דיווחה על התקרית ל-FBI אך שמרה פרטים על מה שגילתה מוחזק היטב, אפילו פנימי". בנובמבר 2017, לאחר שהוצגה לנו לראשונה טענה זו, סיפקנו את המידע הבא לבלומברג כחלק מתגובה ממושכת ומפורטת. הוא מתייחס תחילה לטענות הלא מבוססות של הכתבים שלהם על חקירה פנימית לכאורה:למרות דיונים רבים בין צוותים וארגונים רבים, אף אחד באפל לא שמע מעולם על החקירה הזו. ביזנסוויק סירבה לספק לנו מידע כלשהו כדי לעקוב אחר ההליכים או הממצאים לכאורה. הם גם לא הוכיחו כל הבנה של הנהלים הסטנדרטיים שנעקפו כביכול.
אף אחד מאפל מעולם לא פנה ל-FBI לגבי דבר כזה, ומעולם לא שמענו מה-FBI על חקירה מהסוג הזה - ועוד פחות מכך ניסינו להגביל אותה.
בהופעה הבוקר ב-Bloomberg Television, הכתב ג'ורדן רוברטסון העלה טענות נוספות על גילוי כביכול של שבבים זדוניים, ואמר: "במקרה של אפל, ההבנה שלנו היא שזו הייתה בדיקה נקודתית אקראית של כמה שרתים בעייתיים שהובילה לזיהוי זה".
כפי שכבר הודענו לבלומברג, זה לגמרי לא נכון. אפל מעולם לא מצאה שבבים זדוניים בשרתים שלנו.
לבסוף, בתגובה לשאלות שקיבלנו מארגוני חדשות אחרים מאז פרסום הכתבה של Businessweek, איננו נתונים לשום סוג של צו איסור פרסום או חובות סודיות אחרות.
לאמזון היהתגובה דומה. זה אמר:
יש כל כך הרבה אי דיוקים במאמר זה בהתייחס לאמזון שקשה לספור אותם. נציין כאן רק כמה מהם. ראשית, כשאמזון שקלה לרכוש את Elemental, עשינו הרבה בדיקות נאותות עם צוות האבטחה שלנו, וגם הזמנתי חברת אבטחה חיצונית אחת שתעשה גם עבורנו הערכת אבטחה. דוח זה לא זיהה בעיות עם שבבים או חומרה שהשתנו.כפי שאופייני לרוב הביקורות הללו, הוא הציע כמה אזורים מומלצים לתיקון, ותיקנו את כל הבעיות הקריטיות לפני סגירת הרכישה. זה היה דוח האבטחה החיצוני היחיד שהוזמן. בלומברג אמנם מעולם לא ראה את דו"ח האבטחה המוזמן שלנו ולא שום דו"ח אחר (וסירב לחלוק איתנו פרטים כלשהם של כל דו"ח אחר לכאורה).
המאמר גם טוען שלאחר שלמדנו על שינויי חומרה ושבבים זדוניים בשרתי ה-Elemental, ערכנו ביקורת רשתית של לוחות אם של SuperMicro וגילינו את השבבים הזדוניים במרכז נתונים של בייג'ין. טענה זו אינה נכונה באופן דומה. הסיבה הראשונה והברורה ביותר היא שמעולם לא מצאנו חומרה שונה או שבבים זדוניים בשרתי Elemental. מלבד זאת, מעולם לא מצאנו חומרה שונה או שבבים זדוניים בשרתים באף אחד ממרכזי הנתונים שלנו.
והרעיון הזה שמכרנו את החומרה ומרכז הנתונים בסין לשותף שלנו Sinnet בגלל שרצינו להיפטר משרתי SuperMicro הוא אבסורדי. Sinnet ניהלה את מרכזי הנתונים האלה מאז שהשקנו בסין, הם היו הבעלים של מרכזי הנתונים האלה מההתחלה, והחומרה ש"מכרנו" להם הייתה הסכם העברת נכסים שנקבע על ידי תקנות חדשות בסין לספקי ענן שאינם סיניים להמשיך לפעול בסין.
מה קרה עם אפל ב-2015?
Supermicro סגן נשיא בכיר לטכנולוגיה Tau Lengנתבע בשנת 2017שאפל לא רק הפסיקה את העסקים העתידיים כתוצאה מסביבת פיתוח פנימית אחת שנפגעה בעקבות עדכון קושחה באמצע 2016, אלא גם החזירה ציוד שהזמינה.
בזמנו, Leng טען כי לאחר שנודע לו על הקושחה שנפגעה, Supermicro ביקש את מספר הגרסה שהותקנה. לדברי ההנהלה, אפל סיפקה מספר לא חוקי וסירבה לחשוף כל מידע נוסף לסופר מיקרו. Leng גם טען שהקושחה הגרועה נועדה לשבב רשת המשמש בשרתים, ו"אלפי לקוחות" משתמשים באותו ציוד.
עדכון הקושחה שגרם לפשרה בוצע במעבדת הבדיקות והעיצוב של אפל, ולא בחומרה הפונה קדימה. מקורות טענו שהקושחה שהורדה הורדה מאתר התמיכה של Supermicro, והיא עדיין התארחה שם חודשים לאחר האירוע.
באותה תקופה, אפל השקיעה רבות בהוספת קיבולת להפרינוויל, בצר.ומיידן, NCמרכזי נתונים. זה בדיוק סיכם הרחבה מאסיבית שלמתקן Reno iCloudגַם כֵּן.
סופרמיקרו דיווחה כי היא הפסידה עסקים משני לקוחות ציוד מרכזי נתונים משמעותיים לטווח ארוך בסוף 2016, מה שגרם לירידה במכירות וברווחים משנה לשנה.
