苹果和亚马逊本周三个交易日大概跌掉约 5000 亿元市值,拖累全球最大科技指数纳斯达克创下半年来最大单周跌幅。Super Micro、联想、中兴等分别在美国和香港上市的科技公司虽然相比之下市值下跌绝对值不算多(210 亿元),但各自的跌幅却是从 10% 到 50% 不等。
这种跌势主要跟彭博商业周刊本周一篇长篇报道有关。
彭博援引匿名美国国家安全部门官员的话称,在由中国分包方制造的 Super Micro 服务器主板上,被发现植入了一枚米粒大小的恶意芯片,这将使植入方有能力黑进服务器并获得敏感数据和信息。Super Micro 、苹果、亚马逊是报道中主角之一。
联想和中兴则被认为曾大量购买了 Super Micro 的产品。
尽管彭博隐藏了消息人士的具体身份,但它宣称包括三位苹果资深员工、六位现任和前任美国高级国家安全官员、两名亚马逊 AWS 内部人士等总共 17 人,向彭博确认了 Super Micro 产品受到私自篡改以及其它一些技术细节。
根据彭博社的报道,亚马逊和苹果都发现了采购设备的异常情况并向美国当局上报。但苹果和、亚马逊和 Super Micro 都在第一时间发表措辞严厉的否认声明。 亚马逊称 AWS 不知道相关硬件遭到篡改,否认收购 Elemental 时发现后者硬件被恶意修改。此外,它还否认 AWS 与 FBI 合作调查或向其提供恶意硬件数据。
苹果表示从来没有发现任何服务器中故意植入的恶意芯片、硬件操纵或漏洞,也从未与 FBI 或任何其他机构就此类事件进行任何联系。“在过去的一年中,彭博曾多次与我们联系,有时声称涉及到苹果的安全事件,有时则是模糊表态甚至是精心设计。每次我们都会根据他们的询问进行严格的内部调查,每次都没有找到任何证据来支持他们。”苹果将这封声明单独放在其官网的新闻页内。
总部位于加州圣何塞的 Super Micro 声明从未发现任何恶意芯片,也从未被客户告知相关情况。股价大跌之后,联想在一份声明中说 Super Micro 不是其供应商。中兴公司的发言人则称不了解相关报道。
彭博社的文章并没有清晰说明攻击方法,外界根据文章粗略的描述猜测了一种可行的攻击方法,在信息安全专家们看来,这种方法在技术上可行,但实际操作难度非常大。
主要面向 IT 业者的英国科技网站 TheRegister 撰文称,彭博社称其信源看到亚马逊和苹果的报告,但它没有声称自己看了这些报告,“彭博的信源有多缜密地审查这些报告,他们有可能弄错吗?”TheRegister 写道。
从商业逻辑上,似乎也的确找不到亚马逊和苹果撒谎的动机和证据。作为上市公司,而且是全球第一、第二大上市公司,亚马逊和苹果清楚的知道撒谎的后果,它们的法务团队势必会对声明进行审查,以确保雇主不会因为披露不实信息遭到监管部门起诉或者投资人索赔。
而且如果彭博社报道属实,美国情报机构已经知道了硬件篡改的事情。美国情报机构没有道理隐瞒这种攻击,尤其是在双边关系如此紧张的现场。这两个公司如果撒谎,很快就会被戳穿。另外,商业公司被情报机构以一种近乎电影情节似的技术手段攻破安全防线,外界通常都不会把最大责任归咎到公司身上。
更重要的是,亚马逊公司最大的利润来源——AWS 云计算服务——本身就是美国政府、军队和情报机构的大供应商,它还是全球最大的云计算供应商,包括 Netflix 在内的大公司是它客户。对于以政企服务为主的 AWS 来说,它的生意建立在技术能力和信任之上。偶尔的宕机、被黑客攻击可以被适当原谅,但撒谎不可以。
不过无论这桩新闻最后会如何发展,对于今后技术公司全球合作和供应链分包来说,都可能是灾难的开始。(好奇心日报)