三名工程師被指控竊取谷歌等公司的晶片安全商業機密

Odaily訊 據報導，聯邦檢察官已逮捕三名矽谷工程師，他們被指控從谷歌等公司竊取敏感的晶片安全商業機密，並將其輸送到包括伊朗在內的未授權地點。美國加州北區地方法院的一個聯邦大陪審團對 Samaneh Ghandali、Soroor Ghandali 和 Mohammadjavad Khosravi 提出起訴。

根據美國司法部（DOJ）的聲明，在谷歌任職期間，Samaneh Ghandali 涉嫌將數百個文件（包括谷歌的商業機密）轉移到一個第三方通訊平台。被盜材料涉及處理器安全和密碼學的商業機密。這些被告被指控試圖透過刪除文件、銷毀電子記錄以及向受害公司提交虛假宣誓書來掩蓋其行為。

起訴書描述，2023 年 12 月，在前往伊朗的前一晚，Samaneh Ghandali 拍攝了另一家公司工作電腦螢幕上顯示的約二十幾張商業機密資訊圖片。在伊朗期間，一個與她相關的設備訪問了這些照片，Khosravi 則訪問了其他商業機密材料。谷歌的內部安全系統於 2023 年 8 月檢測到可疑活動，並撤銷了 Samaneh Ghandali 的訪問權限。

三名被告均被指控共謀和盜竊商業機密，以及妨礙司法公正。妨礙司法公正罪的法定最高刑期為 20 年監禁。

Kronos Research 首席投資官 Vincent Liu 表示，擁有合法訪問權限的員工即使在現有控制措施下，也可能隨著時間的推移悄悄提取高度敏感的智慧財產權。半導體和密碼學公司面臨的風險通常來自「受信任的內部人員，而非駭客」。

Horizontal Systems 戰略負責人 Dan Dadybayo 表示，當工程師能夠將架構、金鑰管理邏輯或硬體安全設計移出受控環境時，「邊界」就會崩潰。

Hacken 執行主席 Dyma Budorin 表示，SOC 2 和 ISO 等認證框架通常衡量的是合規成熟度，而不是抵禦特定攻擊者（尤其是內部人員）的實際韌性。這些認證證明了在審計時存在控制措施，但並不能證明敏感資料無法被竊取。