Hai chuyên gia an ninh bị bắt giữ vào năm 2019 sau khi thực hiện đánh giá an ninh được ủy quyền tại một tòa án quận ở Iowa sẽ nhận được 600.000 đô la để dàn xếp vụ kiện mà họ đệ trình, cáo buộc bắt giữ trái pháp luật và phỉ báng.
Vụ kiện do Gary DeMercurio và Justin Wynn, hai chuyên gia kiểm thử xâm nhập hệ thống, khi đó đang làm việc cho công ty an ninh Coalfire Labs có trụ sở tại Colorado, khởi xướng. Hai người này đã được Cơ quan Tư pháp Iowa cấp phép bằng văn bản để tiến hành các bài tập "đội đỏ", tức là các cuộc tấn công nhằm mô phỏng các kỹ thuật được sử dụng bởi tin tặc hoặc kẻ trộm.
Mục tiêu của các cuộc diễn tập như vậy là để kiểm tra khả năng chống chịu của các hệ thống phòng thủ hiện có bằng cách sử dụng các loại tấn công thực tế mà các hệ thống phòng thủ đó được thiết kế để đẩy lùi. Quy tắc giao chiến cho cuộc diễn tập này cho phép rõ ràng các "cuộc tấn công vật lý", bao gồm cả "phá khóa", nhằm vào các tòa nhà thuộc ngành tư pháp miễn là chúng không gây ra thiệt hại đáng kể.
Một thông điệp rùng rợn
Sự kiện này đã thúc đẩy giới chuyên gia an ninh và thực thi pháp luật. Mặc dù công việc là hợp pháp và có hợp đồng pháp lý cho phép thực hiện, DeMercurio và Wynn vẫn bị bắt giữ với cáo buộc tội trộm cắp cấp độ ba và phải ngồi tù 20 giờ, cho đến khi được tại ngoại với số tiền bảo lãnh 100.000 đô la (50.000 đô la cho mỗi người). Sau đó, các cáo buộc được giảm xuống thành tội xâm phạm tài sản trái phép, nhưng ngay cả khi đó, Chad Leonard, cảnh sát trưởng quận Dallas, nơi đặt tòa án, vẫn tiếp tục công khai cáo buộc rằng hai người đàn ông này đã hành động bất hợp pháp và cần phải bị truy tố.
Những tổn hại về danh tiếng do các sự kiện kiểu này gây ra có thể hủy hoại sự nghiệp của một chuyên gia bảo mật. Và tất nhiên, viễn cảnh bị bỏ tù vì thực hiện đánh giá bảo mật được ủy quyền đủ để thu hút sự chú ý của bất kỳ chuyên gia kiểm thử xâm nhập nào, chưa kể đến những khách hàng thuê họ.
“Vụ việc này không làm cho ai an toàn hơn,” Wynn nói trong một tuyên bố. “Nó gửi một thông điệp đáng sợ đến các chuyên gia an ninh trên toàn quốc rằng việc giúp chính phủ xác định các lỗ hổng thực sự có thể dẫn đến việc bị bắt giữ, truy tố và mất mặt trước công chúng. Điều đó làm suy yếu an ninh công cộng, chứ không phải tăng cường nó.”
Vụ đột nhập của DeMercurio và Wynn tại Tòa án Quận Dallas vào ngày 11 tháng 9 năm 2019 diễn ra khá bình thường. Một lát sau nửa đêm, sau khi phát hiện một cánh cửa phụ của tòa án không khóa, hai người đàn ông đã đóng cửa lại và để nó tự khóa. Sau đó, họ luồn một dụng cụ tự chế qua khe hở trên cửa và kích hoạt cơ chế khóa. Sau khi vào được bên trong, những người kiểm thử xâm nhập đã kích hoạt chuông báo động, báo động cho chính quyền.
