吳明宜報導引用馬里蘭州硬體安全顧問公司 Sepio Systems 共同執行長 Yossi Appleboum 所提供他為美國一家主要電信公司資料中心的伺服器做完檢測後的文件、分析及其他證據。基於 Sepio 和客戶簽訂的保密協定,彭博未報導出這家電信公司是誰。
Appleboum 在檢測中發現,在眾多美超微電腦 (Supermicro) 的伺服器中,有一台出現異常通訊現象,後續實際檢查發現這台伺服器的乙太網路連接器,即電腦插上網路線的元件嵌入了一個東西。連接器的嵌入元件是在敏感網路上建立中間傳輸站,研究人員又在網路上偵測到其他非法電子元件,判斷是安全入侵,於是在 8 月間通知客戶的安全團隊。這些東西後來也從 Supermicro 伺服器移除。
再一次被點名的 Supermicro 依然發出聲明表示客戶安全及產品完整性是其公司價值的核心,他們完全不知對報導中提及的元件為何,也沒有客戶通知他們有發現這個元件。
他們也抱怨彭博只提供很有限的資訊,卻沒有提供文件,還只給了半天要他們回應是很不公平的事。當然彭博方面表示有給足 24 小時。
上周彭博刊報導刊出後,Supermicro 雖極力駁斥它賣出的產品被植入惡意微晶片,但股價仍暴跌 41% 。好不容易有點回升,在周二第二篇報導後,又再跌了 27% 。
彭博報導指出,Supermicro 的伺服器是在中國廣州工廠組裝完成。但 Appleboum 說不只是 Supermicro,其他廠商由中國代工的電腦也有類似情形,在中國工廠有無數個這種可以動手腳的地方,許多時候要追溯來源幾乎不可能。
至於文中提及的電信商是誰也引人猜測。美國主要電信商 AT&T 、 Sprint 、 Verizon 都說和這件事沒有關係,他們沒有受到影響。 T-Mobile 、 Cox 、 Comcast 和 CenturyLink 也表示報導中說的不是他們。
中國方面回應相當謹慎。中國大使館沒有對此回應,中國外交部沒有直接回應 Supermicro 伺服器一事,但表示供應鏈安全是常見問題,而中國也是受害者。(譯註:彭博二篇報導都沒有提供詳細的技術描述,引發一些安全專家的批評)
Source: Bloomberg