County membayar $600.000 kepada para pentester yang ditangkap saat audit keamanan pengadilan

 (arstechnica.com)
1 poin oleh GN⁺ 2026-01-31 | 1 komentar | Bagikan ke WhatsApp
  • Pada 2019, dua profesional keamanan yang ditangkap saat pemeriksaan keamanan gedung pengadilan di Iowa akan menerima penyelesaian sebesar $600.000 dalam gugatan atas penangkapan tidak sah dan pencemaran nama baik
  • Keduanya adalah penetration tester dari Coalfire Labs yang sedang menjalankan uji intrusi simulasi ‘red team’ dengan izin resmi dari lembaga peradilan Iowa
  • Pengujian tersebut secara eksplisit mencakup serangan fisik (seperti membobol kunci), tetapi otoritas keamanan setempat menangkap mereka dengan tuduhan pencurian tingkat kejahatan berat
  • Tuduhan kemudian diturunkan menjadi pelanggaran masuk tanpa izin ringan, namun Sheriff Dallas County tetap menyatakan tindakan itu ilegal dan terus melontarkan kecaman publik
  • Kasus ini dipandang sebagai peringatan bahwa profesional keamanan dapat ditangkap saat melakukan pengujian yang sah, dan memicu perubahan besar pada keseluruhan prosedur uji intrusi fisik

Ringkasan kasus

  • Pada 2019, Gary DeMercurio dan Justin Wynn ditangkap saat melakukan audit keamanan yang telah disetujui secara resmi di gedung pengadilan Dallas County, Iowa
    • Keduanya bekerja di Coalfire Labs, perusahaan keamanan berbasis Colorado, dan menjalankan simulasi intrusi ‘red team’ dengan izin tertulis dari lembaga peradilan Iowa
    • Pengujian itu bertujuan menilai ketahanan sistem pertahanan keamanan dengan meniru metode penyusupan yang digunakan penjahat atau peretas sungguhan
  • Serangan fisik (seperti membobol kunci) diizinkan berdasarkan aturan, dengan batasan tidak menimbulkan kerusakan besar

Penangkapan dan respons hukum

  • Keduanya ditangkap dengan tuduhan pencurian tingkat tiga kategori kejahatan berat, ditahan selama 20 jam, lalu dibebaskan masing-masing dengan jaminan $50.000
  • Setelah itu, tuduhan diturunkan menjadi pelanggaran masuk tanpa izin ringan, tetapi Sheriff Dallas County Chad Leonard tetap bersikeras bahwa tindakan tersebut ilegal dan terus melakukan kecaman terbuka
  • Keduanya kemudian menggugat atas dasar penangkapan tidak sah dan pencemaran nama baik, dan enam tahun setelah kejadian mereka memperoleh penyelesaian sebesar $600.000

Dampak kasus

  • Wynn mengatakan, “Kasus ini tidak membuat siapa pun lebih aman,” dan menyebut insiden ini menimbulkan efek gentar bahwa membantu pemerintah memeriksa kerentanannya dapat berujung pada penangkapan, penuntutan, dan pencemaran nama baik
  • Kerusakan reputasi semacam itu dapat sangat merugikan karier profesional keamanan, dan para klien juga menjadi sadar akan risikonya
  • Setelah insiden ini, terjadi perubahan besar pada prosedur dan sistem persetujuan uji intrusi fisik

Situasi saat kejadian

  • Pada dini hari 11 September 2019, keduanya menemukan pintu samping gedung pengadilan tidak terkunci, lalu menutup dan menguncinya sebelum membuka kembali mekanisme kunci melalui celah untuk masuk
  • Sesaat setelah masuk, alarm berbunyi dan polisi datang, yang berujung pada penangkapan
  • Artikel tersebut menjelaskan bahwa “alasan kasus ini berkembang tak terkendali adalah respons sheriff, dan di sebagian besar wilayah lain kasus seperti ini kemungkinan tidak akan berujung dakwaan

Reaksi industri keamanan

  • Kasus ini memicu kontroversi besar di kalangan profesional keamanan dan aparat penegak hukum
  • Insiden ini menunjukkan bahwa bahkan pengujian di bawah kontrak yang sah pun dapat terekspos pada risiko hukuman pidana, dan memicu kewaspadaan di seluruh industri keamanan
  • Pada akhirnya, kasus ini menyoroti perlunya memperkuat prosedur persetujuan dan perlindungan hukum untuk simulasi peretasan fisik

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-31
Komentar Hacker News

  • Polisi datang ke lokasi, menahan para pria itu, memeriksa surat izin resmi yang mereka tunjukkan, lalu bahkan menelepon pihak penanggung jawab untuk memastikan semuanya sah
    Namun begitu sheriff tiba, ia langsung memerintahkan penangkapan. Pada akhirnya, masalahnya adalah satu orang yang tidak memahami situasi, dan orang itu justru pihak yang berwenang

    • Sepertinya bukan karena sheriff tidak tahu, melainkan karena ia hanya ingin memainkan perebutan kekuasaan
    • Menurut artikel, suasana berubah drastis begitu Sheriff Leonard tiba. Ia berkata, “gedung ini berada di bawah yurisdiksi saya,” dan mengklaim ini adalah penyusupan yang tidak ia setujui. Kemungkinan besar ini cuma soal harga diri atau kekecewaan karena dirinya tidak dilibatkan
    • Secara hukum, penangkapan itu mungkin merupakan langkah aman sampai keaslian dokumen dapat diverifikasi. Masalahnya adalah respons konyol setelah itu

  • Saya ingat membaca artikel saat kejadian ini pertama kali terjadi. Tetap saja, syukurlah hasil akhirnya setidaknya cukup positif
    Sebagai referensi, utas HN tepat setelah penangkapan ada di sini

    • Sungguh mengerikan bahwa mereka menghabiskan 600 ribu dolar sambil menghadapi 6 tahun pertarungan hukum dan tuduhan felony
    • Ada juga episode Darknet Diaries yang mewawancarai dua pentester itu

  • Kejadian ini terjadi pada 2019, dan roda keadilan benar-benar berputar sangat lambat

    • Roda gugatan perdata berputar lebih lambat lagi
    • Keadilan yang tertunda bukanlah keadilan
    • Menghabiskan 10% dari masa dewasa untuk bertarung di pengadilan itu sungguh tidak masuk akal
    • Hanya orang kaya yang bisa mengendalikan laju ini

  • Saya ingat betapa absurdnya kasus ini saat itu. Saya rasa sheriff itu seharusnya dicopot, tetapi menerima ganti rugi 100 ribu dolar per tahun atas inkompetensi Dallas County setidaknya hasil yang lebih baik

  • Inilah tepatnya jenis cerita yang ingin saya lihat di Hacker News

  • Syukurlah tuduhannya dibatalkan, tetapi jika melihat pemberitaan awal, kasus ini punya konteks yang jauh lebih rumit daripada yang tampak di artikel
    Dalam artikel Ars Technica tahun 2019,

    • Saat polisi menelepon nomor kontak di surat izin, satu orang menyangkal dengan mengatakan “penyusupan fisik tidak disetujui,” dan satu orang lainnya tidak mengangkat telepon. Sulit membayangkan polisi harus berbuat apa dalam situasi seperti itu
    • Kontraknya memuat frasa ambigu “jangan membuka pintu secara paksa,” tetapi dua orang itu mengaku mereka membuka pintu terkunci dengan alat. Kalimatnya seharusnya dibuat lebih spesifik
    • Ada klausul “dilarang memanipulasi alarm,” tetapi polisi mengklaim mereka mencoba memanipulasi alarm. Kedua orang itu membantahnya
    • Fakta bahwa ada konsumsi alkohol sebelum penyusupan juga bermasalah. Kadar alkohol darahnya 0,05, jadi kemungkinan saat mulai lebih tinggi
    • Fakta bahwa mereka tidak segera mengidentifikasi diri dan justru bersembunyi ketika alarm berbunyi dan polisi datang juga berada di luar cakupan kontrak
      Kesimpulannya, reaksi berlebihan sheriff memang salah, tetapi para pentester juga tidak bertindak sepenuhnya sesuai buku teks
    • Saya pernah menjalankan uji intrusi fisik seperti ini, dan kami selalu membawa nomor kontak pribadi penanggung jawab serta statement of work yang sudah ditandatangani. Saya bahkan tak bisa membayangkan situasi darurat tanpa kontak yang bisa dihubungi.
      Alkohol atau perusakan properti benar-benar terlarang, dan jika polisi datang sambil menodongkan senjata, kami sama sekali tidak akan bersembunyi.
      Karena pengujian seperti ini berbahaya, kami memasukkan mantan personel militer atau polisi ke dalam tim demi menjaga keselamatan
    • Tentu saja, kalau saya harus menguji penyusupan ke gedung pengadilan, jujur saja mungkin saya akan minum satu atau dua botol bir untuk menenangkan diri.
      Menurut artikel, “serangan fisik” dan “membuka kunci” diizinkan, dan dalam praktiknya mereka memang membuka pintu terkunci dengan cara non-destruktif
    • Para pentester memang menanggung sebagian tanggung jawab, tetapi karena pernyataan polisi tidak selalu akurat atau jujur, saya juga sulit mempercayainya sepenuhnya
    • Pada akhirnya, situasi seperti ini seharusnya selesai dalam hitungan jam. Masalahnya membesar karena perebutan kekuasaan antara pengadilan dan county, dan jika ada pengacara di tempat, malam itu juga ia pasti sudah memperingatkan, “ini akan berbiaya mahal”
    • Sebagai catatan, polisi berdamai dengan nilai 600 ribu dolar, bukan sekadar kasusnya ditutup

  • Sektor publik bilang mereka “tidak bisa mencari orang untuk bekerja,” tetapi tetap melakukan hal-hal seperti ini. Lagi pula, besar kemungkinan sheriff itu adalah jabatan hasil pemilihan

  • Bagi siapa pun yang akan menghadapi situasi seperti ini di masa depan, wajib memberi pemberitahuan sebelumnya kepada polisi setempat secara tertulis, lewat telepon, dan tatap muka
    Lebih aman jika mendapatkan persetujuan awal dari polisi atau no-objection letter. Semua dokumen juga harus dibagikan kepada pengacara. Dunia tidak ramah

    • Mereka sebenarnya sudah mendapat izin tertulis dan konfirmasi lisan dari pengadilan negara bagian, tetapi tidak memperkirakan adanya gesekan antara lembaga peradilan dan sheriff
    • Faktanya, para polisi merespons dengan benar. Setelah identitas diverifikasi mereka langsung dibebaskan, dan masalahnya justru dibesarkan oleh satu sheriff yang muncul belakangan
    • Tetapi secara realistis, jika ada laporan masuk, polisi memang akan selalu datang untuk memeriksa situasinya. Saya pernah mengalami hal serupa saat mengelola lapangan tembak. Pada akhirnya jawabannya cuma, “kalau ada laporan, kami datang”
    • Tentu saja, jika polisi diberi tahu sebelumnya, keaslian pengujian itu bisa berkurang
    • Jika tujuannya agar pemerintah negara bagian menilai tingkat keamanan county, pemberitahuan sebelumnya justru bisa membuat validitas pengujian gugur. Reaksi sheriff malah memunculkan kecurigaan bahwa ada sesuatu yang ingin disembunyikan

  • Agak disayangkan kasus ini berakhir damai. Saya paham para penggugat tidak ingin terus bertarung, tetapi penyalahgunaan kekuasaan oleh sheriff seharusnya tetap dihukum

    • Sheriff Chad Leonard pensiun dini pada 2022 (tautan artikel)
    • Karena ia adalah pejabat terpilih, pada akhirnya para pemilihlah yang seharusnya menghakiminya lewat pemungutan suara