Engenheiros do Vale do Silício acusados ​​de roubo de segredos comerciais de tecnologia do Google

Os promotores federais prenderam três engenheiros do Vale do Silício acusados ​​de roubar segredos comerciais sensíveis de segurança de chips do Google e de outros e encaminhá-los para locais não autorizados, incluindo o Irã, levantando preocupações de segurança nacional.

Um grande júri federal no Tribunal Distrital dos EUA para o Distrito Norte da Califórnia devolveu uma acusação contra Samaneh Ghandali, Soroor Ghandali e Mohammadjavad Khosravi. A acusação foi apresentada na quarta-feira e divulgada na quinta-feira em San Jose, de acordo com um comunicado do DOJ.

Enquanto trabalhava no Google, Samaneh Ghandali supostamente “transferiu centenas de arquivos, incluindo segredos comerciais do Google, para uma plataforma de comunicações de terceiros”, para canais com o primeiro nome de cada réu, disse o DOJ.

Uma cópia da acusação não selada não estava imediatamente disponível no momento da redação. Descriptografar entrou em contato com o escritório relevante do DOJ para obter mais informações e comentários.

O trio supostamente usou seu emprego no Google e em outras duas empresas não identificadas para acessar arquivos confidenciais vinculados a processadores de computadores móveis. De acordo com o DOJ, o material roubado incluía segredos comerciais relacionados à segurança do processador e criptografia, e os materiais do Google foram posteriormente copiados para dispositivos pessoais e de trabalho associados a outras empresas onde os réus trabalhavam.

Os promotores alegam que os réus tentaram ocultar suas ações excluindo arquivos, destruindo registros eletrônicos e apresentando declarações falsas às empresas vítimas, negando que elas tivessem compartilhado informações confidenciais fora da empresa.

Num episódio descrito na acusação, o DOJ alega que em dezembro de 2023, na noite anterior à viagem ao Irão, Samaneh Ghandali fotografou cerca de duas dúzias de imagens do ecrã do computador de trabalho de outra empresa exibindo informações de segredo comercial.

Enquanto estava no Irã, um dispositivo associado a ela supostamente acessou essas fotografias, e Khosravi supostamente acessou material adicional de segredo comercial.

De acordo com o DOJ, os sistemas de segurança internos do Google detectaram atividades suspeitas em agosto de 2023 e revogaram o acesso de Samaneh Ghandali. A acusação alega que mais tarde ela assinou uma declaração afirmando que não havia compartilhado informações confidenciais do Google fora da empresa.

Todos os três réus são acusados ​​de conspiração e roubo de segredos comerciais nos termos da lei federal, bem como de obstrução da justiça ao abrigo de uma lei que criminaliza a alteração, destruição ou ocultação corrupta de registos ou outros objectos para prejudicar a sua utilização num processo oficial.

A acusação de obstrução acarreta uma pena máxima legal de 20 anos de prisão.

Riscos e implicações de segurança

Observadores dizem que o caso ilustra como o acesso interno a semicondutores avançados e sistemas criptográficos pode ter implicações na segurança nacional.

“Funcionários com acesso legítimo podem extrair discretamente IP altamente sensíveis ao longo do tempo, mesmo com os controles existentes em vigor”, disse Vincent Liu, diretor de investimentos da Kronos Research. Descriptografar.

O risco para as empresas de semicondutores e criptografia muitas vezes vem de “pessoas internas confiáveis, não de hackers”, acrescentou, descrevendo o risco interno como uma “vulnerabilidade estrutural persistente que requer monitoramento constante e compartimentação rigorosa de dados”.

Nesses casos, “o insider é a superfície de ataque”, disse Dan Dadybayo, líder de estratégia da desenvolvedora de infraestrutura criptográfica Horizontal Systems. Descriptografar. “Os firewalls não importam quando o vetor de exfiltração é o acesso legítimo”, disse ele, argumentando que quando os engenheiros conseguem mover “a arquitetura, a lógica de gerenciamento de chaves ou o design de segurança de hardware para fora dos ambientes controlados, o ‘perímetro’ entra em colapso”.

Se o processador sensível e o IP criptográfico chegassem ao Irã, Dadybayo disse que os reguladores provavelmente responderiam agressivamente.

Ele apontou para “uma aplicação mais rigorosa das regras de exportação consideradas onde o próprio acesso ao conhecimento conta como exportação” e “requisitos mais rigorosos de segmentação, monitorização e licenciamento dentro das empresas dos EUA”, acrescentando que os chips avançados e a criptografia “não são mais tratados como bens comerciais neutros”, mas “instrumentos de poder geopolítico”.

O caso também expõe lacunas entre o cumprimento formal e a resiliência no mundo real.

“Na maioria das organizações de tecnologia, presume-se que os riscos de roubo de informações sejam mitigados com a obtenção das certificações SOC 2 e ISO”, disse Dyma Budorin, presidente executivo da empresa de segurança e conformidade de criptografia Hacken. Descriptografar.

Essas estruturas “muitas vezes medem a maturidade da conformidade, e não a resiliência real contra um invasor determinado – especialmente um insider”.

A certificação, disse ele, prova que existem controlos “no momento da auditoria”, mas “não prova que dados sensíveis não possam ser roubados”.

Como estes padrões prescrevem salvaguardas comuns, argumentou Budorin, eles podem tornar as defesas previsíveis.

Para atacantes sofisticados, “conformidade” muitas vezes significa previsível, acrescentou, alertando que a segurança real requer “validação contínua, monitorização comportamental e testes adversários”, ou as organizações correm o risco de serem “conformes no papel enquanto criticamente expostas na prática”.