Mahkeme Güvenliğini Test Eden Pentesters'a Haksız Tutuklama İçin 600 Bin Dolar Tazminat

2019 yılında Iowa'da bir ilçe mahkemesinin güvenliğini değerlendirirken tutuklanan iki güvenlik uzmanı, haksız tutuklama ve iftira iddialarıyla açtıkları dava sonucunda 600.000 dolar tazminat alacak. Coalfire Labs şirketinde çalışan penetrasyon test uzmanları Gary DeMercurio ve Justin Wynn, Iowa Yargı Organı'ndan "red-team" tatbikatları yapmak için yazılı yetkiye sahipti. Bu tatbikatlar, suçlu bilgisayar korsanları veya hırsızlar tarafından kullanılan teknikleri taklit ederek mevcut savunmaların direncini test etmeyi amaçlıyordu. Anlaşma kuralları, önemli hasara yol açmadığı sürece kilit açma dahil fiziksel saldırılara açıkça izin veriyordu.

İşin meşruiyetine ve yasal sözleşmeye rağmen, DeMercurio ve Wynn ağır suç olan üçüncü derece hırsızlık suçlamalarıyla tutuklandı ve 20 saat hapiste kaldıktan sonra her biri için 50.000 dolarlık kefaletle serbest bırakıldı. Suçlamalar daha sonra kabahatli izinsiz giriş suçlarına indirildi. Ancak Dallas County Şerifi Chad Leonard, kamuoyuna yaptığı açıklamalarda bu kişilerin yasa dışı davrandığını ve yargılanması gerektiğini iddia etmeye devam etti.

Bu tür olaylardan kaynaklanan itibar kaybı, bir güvenlik profesyonelinin kariyeri için ölümcül olabilir. Yetkili güvenlik değerlendirmesi yaparken hapse girme olasılığı, penetrasyon test uzmanlarının ve onları işe alan müşterilerin dikkatini çekmek için yeterliydi. Wynn, "Bu olay kimseyi daha güvenli hale getirmedi. Hükümetin gerçek güvenlik açıklarını tespit etmesine yardımcı olmanın tutuklanmaya, yargılanmaya ve kamuoyu önünde küçük düşmeye yol açabileceği yönünde ülke çapındaki güvenlik profesyonellerine ürkütücü bir mesaj gönderdi" dedi. 11 Eylül 2019'da Dallas County Adliyesi'ndeki tatbikatları rutin bir şekilde gerçekleşmişti; kilitli olmayan bir yan kapıyı bulup kapattıktan sonra, kapı aralığından bir alet sokarak kilitleme mekanizmasını tetikleyip içeri girmiş ve alarmı çalıştırmışlardı.