Quận chi 600.000 USD cho các chuyên gia pentest bị bắt khi kiểm tra an ninh tòa án

 (arstechnica.com)
1 điểm bởi GN⁺ 2026-01-31 | 1 bình luận | Chia sẻ qua WhatsApp
  • Hai chuyên gia an ninh bị bắt trong đợt kiểm tra an ninh tòa án tại bang Iowa năm 2019 sẽ nhận khoản dàn xếp 600.000 USD trong vụ kiện bắt giữ sai và phỉ báng
  • Hai người là penetration tester thuộc Coalfire Labs, đang thực hiện bài kiểm thử xâm nhập mô phỏng kiểu ‘red team’ được tư pháp Iowa cấp phép chính thức
  • Bài kiểm thử được nêu rõ là bao gồm tấn công vật lý (như mở khóa), nhưng cơ quan an ninh địa phương đã bắt họ với cáo buộc trộm cắp nghiêm trọng
  • Sau đó các cáo buộc được hạ xuống thành xâm nhập trái phép mức nhẹ, nhưng cảnh sát trưởng Quận Dallas vẫn tiếp tục công khai chỉ trích và khẳng định đây là hành vi bất hợp pháp
  • Vụ việc này được xem là lời cảnh báo rằng các chuyên gia an ninh có thể bị bắt ngay cả khi đang kiểm thử hợp pháp, đồng thời thúc đẩy những thay đổi lớn đối với toàn bộ quy trình pentest vật lý

Tổng quan vụ việc

  • Năm 2019, Gary DeMercurioJustin Wynn bị bắt khi đang thực hiện đợt kiểm tra an ninh đã được phê duyệt chính thức tại tòa án Quận Dallas, bang Iowa
    • Cả hai thuộc công ty an ninh Coalfire Labs có trụ sở tại Colorado, đang tiến hành một bài kiểm thử xâm nhập mô phỏng ‘red team’ với giấy phép bằng văn bản từ cơ quan tư pháp Iowa
    • Mục đích của bài kiểm thử là mô phỏng cách xâm nhập của tội phạm hoặc hacker thực tế để đánh giá độ bền vững của hệ thống phòng thủ an ninh
  • Theo quy định, các hình thức tấn công vật lý (như mở khóa) được cho phép, miễn là không gây ra thiệt hại nghiêm trọng

Vụ bắt giữ và phản ứng pháp lý

  • Hai người bị bắt với cáo buộc trộm cắp nghiêm trọng cấp độ 3, bị giam 20 giờ, và được thả sau khi mỗi người nộp 50.000 USD tiền bảo lãnh
  • Sau đó cáo buộc được hạ xuống thành xâm nhập trái phép mức nhẹ, nhưng cảnh sát trưởng Quận Dallas Chad Leonard vẫn tiếp tục chỉ trích công khai, khẳng định đây là hành vi bất hợp pháp
  • Cả hai đã khởi kiện vì bắt giữ sai và phỉ báng, và sau 6 năm kể từ khi vụ việc xảy ra, họ sẽ nhận khoản dàn xếp 600.000 USD

Tác động của vụ việc

  • Wynn cho biết: “Vụ việc này không làm ai an toàn hơn”, đồng thời nói rằng nó tạo ra hiệu ứng răn đe, khi việc hỗ trợ chính phủ kiểm tra lỗ hổng có thể dẫn tới bắt giữ, truy tố và phỉ báng
  • Kiểu tổn hại danh tiếng như vậy có thể gây ảnh hưởng chí mạng đến sự nghiệp của chuyên gia an ninh, và các khách hàng cũng nhận thức rõ rủi ro này
  • Sau vụ việc, quy trình và cơ chế phê duyệt cho pentest vật lý đã có những thay đổi đáng kể

Diễn biến tại thời điểm xảy ra sự việc

  • Rạng sáng ngày 11/9/2019, hai người phát hiện cửa ra vào bên hông tòa án không khóa, đóng lại rồi khóa cửa, sau đó mở chốt khóa qua khe cửa để đi vào
  • Ngay sau khi vào trong, chuông báo động vang lên và cảnh sát tới hiện trường, dẫn đến việc bắt giữ
  • Bài báo cho biết “lý do vụ việc vượt khỏi tầm kiểm soát là cách phản ứng của cảnh sát trưởng; ở hầu hết các khu vực khác, trường hợp như vậy có lẽ đã được xử lý không truy cứu

Phản ứng của ngành an ninh

  • Vụ việc đã gây ra tranh cãi lớn giữa giới an ninh và lực lượng thực thi pháp luật
  • Nó cho thấy ngay cả hoạt động kiểm thử theo hợp đồng hợp pháp cũng có thể đối mặt với rủi ro bị xử lý hình sự, làm dấy lên mối cảnh giác trong toàn ngành an ninh
  • Kết quả là nhu cầu tăng cường quy trình phê duyệt và cơ chế bảo vệ pháp lý cho hoạt động mô phỏng tấn công vật lý được nhấn mạnh

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-31
Ý kiến trên Hacker News

  • Cảnh sát đã đến hiện trường, khống chế những người này, kiểm tra giấy phép chính thức mà họ xuất trình, rồi còn gọi cho người phụ trách để xác nhận mọi thứ đều hợp lệ
    Nhưng ngay khi cảnh sát trưởng tới nơi, ông ta đã ra lệnh bắt giữ. Cuối cùng, vấn đề chỉ nằm ở một người duy nhất không hiểu tình huống, mà lại còn là người có quyền

    • Có vẻ không hẳn là cảnh sát trưởng không biết, mà là ông ta chỉ muốn tạo ra một cuộc đấu quyền lực
    • Theo bài báo, bầu không khí thay đổi hoàn toàn khi cảnh sát trưởng Leonard xuất hiện. Ông ta nói rằng “tòa nhà này thuộc phạm vi quản lý của tôi” và cho rằng đây là hành vi xâm nhập không được mình phê chuẩn. Khả năng cao chỉ là vấn đề sĩ diện, hoặc sự bất mãn vì bị gạt ra ngoài
    • Xét về mặt pháp lý, việc bắt giữ có thể là một biện pháp an toàn cho tới khi xác minh được tính xác thực của giấy tờ. Vấn đề là cách xử lý lố bịch sau đó

  • Tôi nhớ đã đọc bài về vụ này khi nó mới xảy ra. Dù vậy, cũng may là kết cục có phần nào đó tích cực
    Nhân tiện, thread HN ngay sau vụ bắt giữ nằm ở đây

    • Thật kinh khủng khi họ đã phải tiêu tốn 600.000 USD trong 6 năm chiến đấu pháp lý và chống lại các cáo buộc trọng tội
    • Cũng có tập podcast trên Darknet Diaries phỏng vấn hai pentester này

  • Vụ việc xảy ra vào năm 2019, và bánh xe công lý quay thật chậm

    • Bánh xe của kiện tụng dân sự còn quay chậm hơn nữa
    • Công lý bị trì hoãn thì không còn là công lý
    • Việc phải dành 10% quãng đời trưởng thành cho một cuộc chiến pháp lý là điều vô lý
    • Chỉ người giàu mới có thể điều chỉnh được tốc độ này

  • Tôi vẫn nhớ vụ này nực cười đến mức nào vào thời điểm đó. Tôi nghĩ cảnh sát trưởng lẽ ra phải bị cách chức, nhưng việc nhận được 100.000 USD mỗi năm cho sự tắc trách của quận Dallas dù sao cũng là kết quả đỡ tệ hơn

  • Đây đúng là kiểu câu chuyện tôi muốn thấy trên Hacker News

  • Thật may là các cáo buộc đã bị hủy, nhưng nếu xem lại nội dung đưa tin ban đầu thì bối cảnh của vụ việc phức tạp hơn nhiều so với những gì bài báo thể hiện
    Theo bài của Ars Technica năm 2019,

    • Khi cảnh sát gọi vào số liên hệ ghi trên giấy phép, một người phủ nhận rằng “xâm nhập vật lý đã được phê duyệt”, còn người kia thì không bắt máy. Trong tình huống như vậy, thật khó nói cảnh sát phải làm gì
    • Hợp đồng có câu mơ hồ là “không được cưỡng ép mở cửa”, nhưng hai người này khai rằng họ đã mở cửa bằng công cụ. Lẽ ra câu chữ phải cụ thể hơn
    • Có điều khoản “không được can thiệp vào hệ thống báo động”, nhưng cảnh sát nói họ đã cố thao túng báo động. Hai người này phủ nhận
    • Việc có uống rượu trước khi đột nhập cũng là một vấn đề. Nồng độ cồn trong máu là 0,05, nên lúc bắt đầu có lẽ còn cao hơn
    • Việc họ không lập tức khai rõ danh tính mà lại trốn đi khi chuông báo động vang lên và cảnh sát tới cũng vượt ra ngoài phạm vi hợp đồng
    • Nói chung, phản ứng quá mức của cảnh sát trưởng là sai, nhưng các pentester cũng không hoàn toàn hành xử theo đúng sách giáo khoa
    • Tôi từng làm những bài kiểm thử xâm nhập vật lý kiểu này, và chúng tôi luôn mang theo số liên lạc cá nhân của người phụ trách cùng bản mô tả công việc có chữ ký. Tôi không thể tưởng tượng nổi tình huống liên lạc khẩn cấp mà lại không ai bắt máy.
      Uống rượu hay làm hư hại tài sản là tuyệt đối cấm, và nếu cảnh sát xuất hiện với súng trên tay thì chắc chắn không được trốn.
      Vì những bài kiểm thử này rất nguy hiểm, chúng tôi còn đưa cựu quân nhân hoặc cựu cảnh sát vào nhóm để bảo đảm an toàn
    • Tất nhiên, nếu tôi phải làm bài kiểm thử xâm nhập một tòa án, nói thật là có khi tôi cũng sẽ uống một hai lon bia để bớt căng thẳng.
      Theo bài báo, “tấn công vật lý” và “bẻ khóa” là được cho phép, và trên thực tế họ đã mở cửa theo cách không gây hư hại
    • Pentester cũng có phần trách nhiệm, nhưng tôi nghĩ khó mà tin hoàn toàn vào phía cảnh sát, vì lời khai của họ không phải lúc nào cũng chính xác hay trung thực
    • Cuối cùng thì chuyện này đáng lẽ phải được giải quyết trong vài giờ. Mọi việc leo thang vì cuộc đấu quyền lực giữa tòa án và quận, và nếu có luật sư ở đó, hẳn ngay tối hôm đó họ đã cảnh báo rằng “vụ này sẽ phải trả giá rất đắt”
    • Nhân tiện, cảnh sát đã dàn xếp với số tiền 600.000 USD, chứ không phải chỉ đơn giản là vụ án bị bác bỏ

  • Khu vực công thì lúc nào cũng than “không tuyển được người làm”, nhưng lại gây ra những chuyện như thế này. Hơn nữa, vị cảnh sát trưởng đó rất có thể là chức vụ do bầu cử

  • Nếu sau này ai đó rơi vào tình huống kiểu này, nhất định phải thông báo trước cho cảnh sát địa phương bằng văn bản, điện thoại và trực tiếp
    Sẽ an toàn hơn nếu có phê duyệt trước của cảnh sát hoặc một no-objection letter. Cũng nên chia sẻ toàn bộ tài liệu với luật sư. Cuộc đời không hề tử tế

    • Những người này đã có giấy phép bằng văn bản và xác nhận bằng lời nói từ tòa án bang, nhưng họ không lường trước được mâu thuẫn quyền lực giữa tư pháp và cảnh sát trưởng
    • Thực ra các cảnh sát viên đã phản ứng đúng. Sau khi xác minh danh tính thì họ đã thả người ngay, vấn đề là về sau có một cảnh sát trưởng xuất hiện và làm mọi chuyện trầm trọng hơn
    • Nhưng trên thực tế, khi có tin báo thì cảnh sát luôn phải tới hiện trường để xác minh tình huống. Tôi từng có trải nghiệm tương tự khi vận hành trường bắn. Cuối cùng thì chỉ có một nguyên tắc: “có tin báo là phải đi”
    • Dĩ nhiên, nếu báo trước cho cảnh sát thì tính chân thực của bài kiểm thử có thể giảm đi
    • Nếu mục tiêu là để chính quyền bang đánh giá mức độ an ninh của quận, thì việc báo trước thậm chí có thể làm mất hiệu lực kiểm định. Phản ứng của cảnh sát trưởng khiến người ta nghi ông ta đang cố che giấu điều gì đó

  • Thật tiếc vì vụ việc kết thúc bằng dàn xếp. Tôi hiểu là nguyên đơn không muốn tiếp tục chiến đấu nữa, nhưng hành vi lạm dụng quyền lực của cảnh sát trưởng đáng ra phải bị trừng phạt

    • Cảnh sát trưởng Chad Leonard đã nghỉ hưu sớm vào năm 2022 (liên kết bài báo)
    • Vì ông ta là công chức do dân bầu, nên rốt cuộc việc phán xét thuộc về lá phiếu của cử tri