Als die besmette firmware nog steeds op de site van Supermicro zou staan, zou dat toch op z'n minst aantoonbaar moeten zijn.
Zonder informatie als typenummers van de mainboards, is het wel een heel erg vaag verhaal.

Neemt niet weg dat firmware eigenlijk hoog op de radar van beveiligingsonderzoekers zou moeten staan. Je kunt er namelijk zaken mee doen die je op OS-niveau niet zou kunnen noch kunt detecteren.

Supermicro is een chinese toko en dit is vast weer een america first actie, zoals met huawei en samsung in het verleden.

Misschien maakt Apple nu zelf wel zijn servers,dat ze er meer grip op hebben.
Geen programma of besturingssysteem is waterdicht.
Overal is er wel een kans op een infectie met malware of anderzins kwaad.

firmware van supermicro.com of van supermicro..nsa.gov?

Klopt en het kan nog vervelend op te lossen zijn ook. Tot dusver 1 keer een laptop meegemaakt waar de firmware van aangepast was met onmogelijk een legitieme versie, het versienummer was namelijk een pak hoger dan de officiele meest-recente. Wat anders dan een server, dat wel, maar blijft een aangepaste bios/firmware wat evengoed inhoudt dat dat zéér moeilijk te constateren is, laat staan oplossen als firmware upgrade software enkel nieuwere versies toestaat...

Daar zijn ze juist mee gestopt, XServe.

Apple koopt alleen maar ze maken niets zelf, vrijwel alles is uitbesteed. In de server markt doen ze al jaren niet meer mee.
Het verhaal van de andere kant https://www.macrumors.com/2017/02/23/apple-ends-relationship-with-super-micro/

Meerdere subleveranciers foute versies het zou zo maar een onderhandse verkooptruc kunnen zijn van een concurrent.
Dat soort spelletjes op laag niveau moet je gezien hebben om te geloven dat het gebeurt.

"America first" is toch echt iets heel anders dan je niet door Chinezen en Russen in de luren laten leggen.

Tja, koppen..

Vergelijk het met dit nieuwsbericht
https://www.security.nl/posting/505132/Security_NL+incident-reponse+Cloudflare-kwetsbaarheid

Security.nl verbreekt ook een zakenrelatie (met Cloudflare) en ontkent ook (dat er negatieve gevolgen waren).
De kop boven dat artikel is niet "Security.nl ontkent dat gebruikersaccounts waren gecompromitteerd".

Maar bij Apple dan weer wel.
Het is een insteek om het nieuws samen te vatten maar een beetje opmerkelijk omdat er namelijk geen bewijs voor de constatering wordt geleverd.
De kop had dan ook beter kunnen zijn (ondanks dat dat ook niet bewezen is) "Supermicro biedt besmette firmware aan".
Want het betreft namelijk meer bedrijven die daar last van hadden kunnen hebben.
Nu wordt een mogelijk slachtoffer in de verdachte hoek gemanoeuvreerd terwijl het niets kan doen aan het feit dat een fabrikant mogelijk gecorrumpeerde firmware aanbiedt.

Net zoals security.nl er niets aan kan doen dat Cloudflare fouten maakt in haar beveiliging en daar niet op afgerekend wordt zou een andere kop bij dit artikel beter passen die de schuldvraag neerlegt bij de bron.
Maar als een bericht niet bewezen wordt, waarom breng je het dan eigenlijk als nieuws?
Dan maak je het ene bedrijf verdacht terwijl juist het andere meer recht heeft om in het verdachtenbankje te staan, foute firmware aanbieden is immers kwalijker dan ontkennen dat je besmet bent geweest wat nog allerminst bewezen is.
Leg de zwaarte in je nieuwsbericht waar het thuishoort, dat werd ook gedaan in de berichtgeving over cloudflare, leg de zwaarte van je berichtgeving neer bij de oorzaak en niet bij mogelijke slachtoffers.

Niet dat ik Apple zielig vindt, maar dit is een nogal opmerkelijke kop en insteek van een artikel die een veel bredere nieuwswaarde heeft, namelijk een fabrikant die mogelijk besmette firmware aanbiedt en duizenden klanten heeft.
Als de firmware nog wordt aangeboden, waarom is die firmware niet onderzocht en hoe zit het dan met die duizenden andere klanten.
Waarom wordt de claim van al die andere klanten niet besmet te zijn geloofd en van Apple dan weer niet?

Er is iets gaande, wat precies is onduidelijk, maar net zoals security.nl met Cloudflare, heeft Apple ook het volste recht een zakenrelatie te beëindigen.
Als je dat verdacht vindt dringt zich immers ook de vraag op aan security.nl of er echt geen problemen waren met gebruikersaccounts die nu worden ontkend, maar die discussie hebben we hier dan weer niet.
Gek eigenlijk.

Vond het een opmerkelijke discrepantie bij in de verslaggeving.

Sorry maar Supermicro is toch echt een Amerikaans bedrijf. Reageren zonder fijten te checken is een beetje dom.