בלומברג מכפילה את דו"ח החקירה שלה לפיו שרתים השייכים לאפל, אמזון וארגונים גדולים אחרים טופלו על ידי סין, על ידי ציטוט מסמכים וניתוח של מומחה אבטחה שעובד בחברת תקשורת גדולה.
ההאשמות האחרונות נובעות מהראש של Sepio Systems, יוסי אפלבוים, שמשרדו נשכר לסרוק מספר מרכזי נתונים גדולים השייכים ללקוח לא מזוהה. החברה המדוברת לא נחשפת, לפי הטענות שהיא תפר את הסכם הסודיות של אפלבום עם הלקוח.
לְפִישל בלומברגהאחרוןדִוּוּחַ, "תקשורת יוצאת דופן משרת Supermicro" עוררה בדיקה פיזית, שבתורה חשפה שתל במחבר ה-Ethernet. אפלבום טוען שהוא ראה דברים דומים קורים למגוון חומרת מחשבים המיוצרות בחוזה בסין, ולא רק למוצרי Supermicro.
"סופרמיקרו הוא קורבן - כך גם כולם", טוענת אפלבום, ומוסיפה חשש כי ישנן נקודות רבות בשרשרת האספקה בסין שבהן ניתן לבצע שינויים כאלה במוצרים, וכי למצוא היכן זה התרחש הוא כמעט בלתי אפשרי. "זו הבעיה בשרשרת האספקה הסינית", הדגיש המנהל.
לפי Appleboum, השרת של חברת הטלקום עבר שינוי במפעל שבו הוא יוצר, כאשר מגעים מודיעיניים מערביים שייעצו לו נעשו אצל קבלן משנה Supermicro בגואנגז'ו, דרום מזרח סין. מתקן הטלקום הכיל לכאורה מספר רב של שרתי Supermicro, והטכנאים לא יכלו לומר איזה סוג נתונים עוברים דרך השרת הנגוע. כמו כן, לא ידוע אם הלקוח הודיע ל-FBI.
דובר AT&T פלטשר קוק ייעץ לדו"ח "המכשירים האלה אינם חלק מהרשת שלנו, ואנחנו לא מושפעים". הצהרה דומה "לא מושפעת" התקבלה מ-Verizon, בעוד T-Mobile ו-Sprint לא הגיבו לבקשות הערות.
דוח זה הוא הראשון עם מקור שמו. הדו"ח מציין גם כי וקטור ההתקפה הזה שונה ממנובלומברגהחשבון של.
"אבטחת הלקוחות שלנו ושלמות המוצרים שלנו הם הליבה לעסק שלנו ולערכי החברה שלנו", אמר Supermicro בהצהרה לדו"ח. "אנו דואגים להבטיח את שלמות המוצרים שלנו לאורך תהליך הייצור, ואבטחת שרשרת האספקה היא נושא חשוב לדיון בתעשייה שלנו".
"עדיין אין לנו ידיעה על רכיבים בלתי מורשים כלשהם ולא הודענו על ידי אף לקוח שרכיבים כאלה נמצאו", נמשכה ההצהרה, לפני שנטען כי הם "מבוהלים" על ידי בלומברג שסיפקה "רק מידע מוגבל, ללא תיעוד, וחצי יום להגיב" להאשמות החדשות.
כביכול תוכנן על ידי הצבא הסיני, השבב נחשב ל"פתח חמקני לכל רשת", והציע "גישה חמקנית לטווח ארוך" למערכות מחשב מחוברות. המקוריבלומברגהדיווח נדחה מאז על ידי רבות מהחברות שזוהו במאמר, כולל אהכחשה חזקהמאפל מאפיינת את הדיווח כ"שגוי ואינפורמטיבי".
על פי הדיווחים, אפל גם ביצעה "מאסיבי, גרגירי ומצוידחֲקִירָה" לטענות שהועלו בדו"ח, אך לא הצליחו למצוא ראיות כלשהן לשיבוש חומרה או לזהות תקריות לא קשורות שיכולות היו לתרום לטענות. אפל כתבה מאז ל-הקונגרס האמריקאיבעניין, מתעקש שיש חוסר ראיות.
ההמחלקה לביטחון פניםצלצל, לצדהמרכז הלאומי לאבטחת סייבר בבריטניה, שניהם מטילים ספק בדיווח. גם פקידים אמריקאים אחרים אינם בטוחים לגבי דיוק הדו"ח, כאשר פקיד אחד שינה את עמדתו מההצעה המקורית שלהם ש"עיקר המאמר" היה נכון.
אחד המקורות הבודדים המוזכרים בדו"ח המקורי עשה גם כןחשף ספקותעל אמיתות הסיפור, כולל ההתמודדות עם העיתונאי ג'ורדן רוברטסון, אחד מהאנשיםבלומברגמחברי הדו"ח. חוקר האבטחה ג'ו פיצפטריק ייעץ ביום שני שהוא דן במכשירי הוכחת קונספט שהדגים ב-Black Hat 2016, אבל מצא שזה מוזר שרעיונות שהזכיר אושרו לפרסום על ידי מקורות אחרים.
