两名安全专业人员因2019年在爱荷华州一家法院进行授权安全评估时被捕,现将获得60万美元,以和解此前提起的非法逮捕和诽谤诉讼。据arstechnica.com报道,此案的原告是当时受雇于科罗拉多州安全公司Coalfire Labs的渗透测试员Gary DeMercurio和Justin Wynn。
这两名专业人员持有爱荷华州司法部门的书面授权,以执行“红队”演习,即模拟犯罪黑客或窃贼所用技术的安全入侵尝试。本次演习的接触规则明确允许对司法部门大楼进行“物理攻击”,包括“开锁”,前提是不得造成重大损害。
尽管工作具有合法性并受合同授权,DeMercurio和Wynn仍被逮捕,并面临三级入室盗窃的重罪指控,随后在支付了十万美元保释金后才获释。尽管指控后来降级为轻罪,但达拉斯县警长Chad Leonard仍公开声称两人行为非法,应予起诉。
安全测试人员Justin Wynn在一份声明中表示,该事件没有使任何人更安全,反而向全国的安全专业人员发出了寒蝉效应。他指出,协助政府识别真实漏洞反而可能导致逮捕、起诉和公开羞辱,这损害而非增强了公共安全。
2019年9月11日,两名测试人员在达拉斯县法院的演习本属例行公事。午夜刚过,他们在发现一侧门未上锁后,将其关闭并使其自动锁定,随后使用自制工具触发了门锁机制,成功进入建筑内部。
进入后,渗透测试人员立即触发了警报,从而通知了当局。这次事件凸显了安全评估的复杂性以及在实际操作中,授权行为与地方执法部门理解之间的潜在冲突。
此次和解金额60万美元,表明了地方政府在承认程序失误上的代价。对于安全行业而言,授权范围的清晰界定和执法部门的充分沟通,是未来进行此类关键安全测试的必要前提。
