เคาน์ตีจ่ายเงิน 600,000 ดอลลาร์ให้ผู้เชี่ยวชาญทดสอบเจาะระบบจำลองที่ถูกจับกุมระหว่างการตรวจสอบความปลอดภัยของศาล

 (arstechnica.com)
1 คะแนน โดย GN⁺ 2026-01-31 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้เชี่ยวชาญด้านความปลอดภัยสองคนที่ถูกจับกุมระหว่างการตรวจสอบความปลอดภัยของศาลในรัฐไอโอวาเมื่อปี 2019 จะได้รับ เงินยอมความ 600,000 ดอลลาร์ จากคดีฟ้องร้องเรื่องการจับกุมโดยมิชอบและการหมิ่นประมาท
  • ทั้งสองเป็น ผู้ทดสอบการเจาะระบบของ Coalfire Labs และกำลังดำเนินการ ทดสอบการบุกรุกจำลองแบบ ‘เรดทีม’ ที่ได้รับอนุญาตอย่างเป็นทางการ จากฝ่ายตุลาการของรัฐไอโอวา
  • การทดสอบระบุไว้อย่างชัดเจนว่ารวมถึง การโจมตีทางกายภาพ (เช่น การสะเดาะกุญแจ) ได้ แต่หน่วยงานความปลอดภัยท้องถิ่นกลับจับกุมในข้อหา ลักทรัพย์ระดับอาชญากรรมร้ายแรง
  • ต่อมาข้อหาถูกลดลงเป็น บุกรุกโดยมิชอบระดับลหุโทษ แต่ นายอำเภอเขตดัลลัส ยังคงยืนกรานว่าเป็นการกระทำผิดกฎหมายและวิจารณ์ต่อสาธารณะต่อเนื่อง
  • เหตุการณ์นี้ถูกมองว่าเป็น คำเตือนว่าผู้เชี่ยวชาญด้านความปลอดภัยอาจถูกจับกุมได้ระหว่างการทดสอบที่ถูกกฎหมาย และจุดชนวนให้เกิด การเปลี่ยนแปลงครั้งสำคัญ ต่อกระบวนการทดสอบการเจาะระบบทางกายภาพโดยรวม

ภาพรวมของเหตุการณ์

  • ในปี 2019 Gary DeMercurio และ Justin Wynn ถูกจับกุมขณะปฏิบัติ การตรวจสอบความปลอดภัยที่ได้รับอนุมัติอย่างเป็นทางการ ที่ศาลเขตดัลลัส รัฐไอโอวา
    • ทั้งสองสังกัด Coalfire Labs บริษัทด้านความปลอดภัยที่มีฐานอยู่ในโคโลราโด และได้รับอนุญาตเป็นลายลักษณ์อักษรจากฝ่ายตุลาการของรัฐไอโอวาให้ดำเนินการ ทดสอบการบุกรุกจำลองแบบ ‘เรดทีม’
    • การทดสอบดังกล่าวมีเป้าหมายเพื่อตรวจสอบ ความทนทานของระบบป้องกันความปลอดภัย โดยจำลองวิธีการบุกรุกของอาชญากรหรือแฮ็กเกอร์จริง
  • ตามข้อกำหนด อนุญาตให้ใช้การโจมตีทางกายภาพ (เช่น การสะเดาะกุญแจ) ได้ แต่จำกัดอยู่ในขอบเขตที่ไม่ก่อให้เกิด ความเสียหายร้ายแรง

การจับกุมและการตอบโต้ทางกฎหมาย

  • ทั้งสองถูกจับกุมในข้อหา ลักทรัพย์ระดับ 3 ซึ่งเป็นอาชญากรรมร้ายแรง ถูกคุมขัง 20 ชั่วโมง และได้รับการปล่อยตัวด้วย วงเงินประกันคนละ 50,000 ดอลลาร์
  • ต่อมาข้อหาถูกลดลงเป็น บุกรุกโดยมิชอบระดับลหุโทษ แต่ Chad Leonard นายอำเภอเขตดัลลัส ยังคงยืนยันว่าเป็นการกระทำผิดกฎหมายและ วิจารณ์ต่อสาธารณะ อย่างต่อเนื่อง
  • ทั้งสองยื่นฟ้องในข้อหา จับกุมโดยมิชอบและหมิ่นประมาท และหลังเกิดเหตุ 6 ปี ก็ได้รับ เงินยอมความ 600,000 ดอลลาร์

ผลกระทบของเหตุการณ์

  • Wynn กล่าวว่า “เหตุการณ์นี้ไม่ได้ทำให้ใครปลอดภัยขึ้นเลย” พร้อมระบุว่า เหตุการณ์นี้ก่อให้เกิด ผลกระทบเชิงยับยั้งต่อการช่วยรัฐบาลตรวจสอบช่องโหว่ เพราะอาจนำไปสู่การจับกุม การดำเนินคดี และการหมิ่นประมาท
  • ความเสียหายด้านชื่อเสียงเช่นนี้อาจ ร้ายแรงถึงขั้นทำลายอาชีพของผู้เชี่ยวชาญด้านความปลอดภัย และทำให้ลูกค้าเองก็มองเห็นความเสี่ยงดังกล่าว
  • หลังเหตุการณ์นี้ กระบวนการและระบบอนุมัติสำหรับการทดสอบเจาะระบบทางกายภาพ ได้รับ การเปลี่ยนแปลงครั้งสำคัญ

สถานการณ์ในวันเกิดเหตุ

  • เช้ามืดวันที่ 11 กันยายน 2019 ทั้งสองพบว่า ประตูทางเข้าด้านข้างของศาลไม่ได้ล็อก จึงปิดและล็อกประตู จากนั้นใช้ ช่องว่างเพื่อปลดกลไกล็อก แล้วเข้าไปภายใน
  • ทันทีหลังเข้าไป สัญญาณเตือนก็ดังขึ้นและตำรวจเข้ามายังที่เกิดเหตุ ก่อนจะนำไปสู่การจับกุม
  • บทความระบุว่า “เหตุที่เรื่องนี้บานปลายจนควบคุมไม่ได้เกิดจาก การตอบสนองของนายอำเภอ และในพื้นที่ส่วนใหญ่กรณีเช่นนี้น่าจะ จบลงโดยไม่มีการตั้งข้อหา

ปฏิกิริยาจากอุตสาหกรรมความปลอดภัย

  • เหตุการณ์นี้ก่อให้เกิด ข้อถกเถียงอย่างมากในหมู่ผู้เกี่ยวข้องด้านความปลอดภัยและการบังคับใช้กฎหมาย
  • มันแสดงให้เห็นว่า แม้แต่การทดสอบภายใต้สัญญาที่ถูกกฎหมายก็ยัง อาจเผชิญความเสี่ยงทางอาญาได้ และกระตุ้น ความตื่นตัวในอุตสาหกรรมความปลอดภัยโดยรวม
  • ผลลัพธ์คือ ความจำเป็นในการ เสริมความเข้มแข็งให้ขั้นตอนอนุมัติและมาตรการคุ้มครองทางกฎหมายสำหรับการแฮ็กจำลองทางกายภาพ ถูกเน้นย้ำมากขึ้น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-31
ความเห็นจาก Hacker News

  • ตำรวจมาถึงที่เกิดเหตุ จับชายทั้งสองไว้ ตรวจดู หนังสืออนุญาตอย่างเป็นทางการ ที่พวกเขาแสดงให้ดู และถึงขั้นโทรหาผู้รับผิดชอบเพื่อยืนยันว่าทุกอย่างถูกต้อง
    แต่พอนายอำเภอมาถึงก็สั่งจับกุมทันที สุดท้ายปัญหาคือมีคนเพียงคนเดียวที่ไม่เข้าใจสถานการณ์ และคนนั้นยังเป็น ผู้มีอำนาจ ด้วย

    • ดูเหมือนไม่ใช่ว่านายอำเภอไม่รู้เรื่อง แต่เหมือนแค่อยากเปิดศึก แย่งอำนาจ มากกว่า
    • ตามบทความ พอ Sheriff Leonard มาถึง บรรยากาศก็เปลี่ยนไปทันที เขาพูดว่า “อาคารนี้อยู่ในเขตอำนาจของฉัน” และอ้างว่านี่เป็นการบุกรุกที่เขาไม่ได้อนุมัติ น่าจะเป็นแค่เรื่องของ ศักดิ์ศรี หรือไม่ก็ไม่พอใจที่ตัวเองถูกกันออกไป
    • ในทางกฎหมาย การจับกุมอาจถือเป็น มาตรการที่ปลอดภัย จนกว่าจะตรวจสอบความถูกต้องของเอกสารเสร็จ ปัญหาคือการรับมือที่เหลือหลังจากนั้นซึ่งเหลือเชื่อมาก

  • จำได้ว่าเคยอ่านข่าวตอนเหตุการณ์นี้เพิ่งเกิดขึ้น อย่างน้อยก็ยังดีที่ผลลัพธ์จบลงแบบ ค่อนข้างเป็นบวก
    สำหรับอ้างอิง เธรด HN หลังการจับกุมทันทีอยู่ที่นี่

    • ต้องสู้คดีในศาล 6 ปี พร้อมรับมือข้อหาความผิดร้ายแรง และเสียเงินไป 600,000 ดอลลาร์ นี่มันเลวร้ายจริงๆ
    • Darknet Diaries ก็มีตอนสัมภาษณ์เพนเทสเตอร์ทั้งสองคนด้วย

  • เหตุเกิดในปี 2019 และ กงล้อแห่งความยุติธรรม หมุนช้ามากจริงๆ

    • กงล้อของคดีแพ่งยิ่งช้ากว่าอีก
    • ความยุติธรรมที่ล่าช้า ก็คือความอยุติธรรม
    • การต้องใช้เวลา 10% ของชีวิตผู้ใหญ่ไปกับการสู้คดีในศาลเป็นเรื่องที่รับไม่ได้
    • มีแต่คนรวยเท่านั้นที่พอจะควบคุมจังหวะแบบนี้ได้

  • จำได้ว่าตอนนั้นเรื่องนี้มัน เหลือเชื่อ แค่ไหน ฉันคิดว่านายอำเภอควรถูกปลด แต่การได้ชดเชยปีละ 100,000 ดอลลาร์สำหรับความไร้ความสามารถของ Dallas County ก็ยังนับว่าเป็นผลลัพธ์ที่ดีกว่าไม่มีอะไรเลย

  • นี่แหละคือเรื่องที่ฉันอยากเห็นบน Hacker News

  • ดีแล้วที่ข้อหาถูกถอน แต่ถ้าดูจากรายงานเดิม บริบทของเรื่องนี้ ซับซ้อนกว่าที่บทความทำให้เห็น มาก
    ถ้าอ่านบทความ Ars Technica ปี 2019 จะพบว่า

    • ตอนตำรวจโทรไปยังเบอร์ติดต่อที่ระบุในหนังสืออนุญาต คนหนึ่งปฏิเสธว่า “ไม่ได้อนุมัติการบุกรุกทางกายภาพ” ส่วนอีกคนไม่รับสาย ในสถานการณ์แบบนั้นก็อดสงสัยไม่ได้ว่าตำรวจควรทำอย่างไร
    • ในสัญญามีข้อความกำกวมว่า “ห้ามเปิดประตูด้วยกำลัง” แต่ทั้งสองให้การว่าใช้ เครื่องมือเปิด ประตูที่ล็อกไว้ ข้อความน่าจะต้องระบุให้ชัดกว่านี้
    • มีข้อกำหนด “ห้ามยุ่งกับสัญญาณเตือนภัย” แต่ตำรวจอ้างว่าพวกเขาพยายามจัดการสัญญาณเตือน ทั้งสองปฏิเสธ
    • การ ดื่มแอลกอฮอล์ ก่อนบุกรุกก็เป็นปัญหาเช่นกัน ระดับแอลกอฮอล์ในเลือด 0.05 แปลว่าตอนเริ่มน่าจะสูงกว่านั้น
    • ตอนสัญญาณเตือนดังและตำรวจมาถึง พวกเขาไม่ได้แสดงตัวทันทีแต่กลับหลบซ่อน ซึ่งก็เกินขอบเขตของสัญญา
      โดยสรุป การตอบสนองเกินกว่าเหตุของนายอำเภอเป็นเรื่องผิด แต่เพนเทสเตอร์เองก็ไม่ได้ทำทุกอย่างแบบ ตามตำราเป๊ะๆ เช่นกัน
    • ฉันเคยทำ การทดสอบการเจาะระบบทางกายภาพ แบบนี้มาก่อน เราจะพกข้อมูลติดต่อส่วนตัวของผู้รับผิดชอบและเอกสารขอบเขตงานที่ลงนามแล้วไว้เสมอ สถานการณ์ที่ติดต่อฉุกเฉินไม่ได้เป็นสิ่งที่นึกไม่ออกเลย
      ห้ามดื่มหรือทำให้ทรัพย์สินเสียหายโดยเด็ดขาด และถ้าตำรวจโผล่มาพร้อมปืน เราไม่มีทางซ่อนตัวเด็ดขาด
      งานแบบนี้มีความเสี่ยง เราเลยใส่คนที่เป็น อดีตทหารหรือตำรวจ ไว้ในทีมเพื่อความปลอดภัย
    • แน่นอน ถ้าฉันต้องทำการทดสอบบุกรุกศาลจริงๆ ก็พูดตรงๆ ว่าอาจดื่ม เบียร์สักแก้วสองแก้ว เพื่อคลายความเครียดเหมือนกัน
      ตามบทความ “physical attacks” กับ “lock picking” ได้รับอนุญาต และสิ่งที่พวกเขาทำจริงคือเปิดประตูที่ล็อกอยู่แบบ ไม่ก่อความเสียหาย
    • เพนเทสเตอร์ก็มีส่วนรับผิดชอบบ้าง แต่เพราะคำให้การของตำรวจไม่ได้ ถูกต้องหรือซื่อสัตย์ เสมอไป จึงยากจะเชื่อทั้งหมด
    • สุดท้าย เรื่องแบบนี้ควรจบได้ภายในไม่กี่ชั่วโมง มันบานปลายเพราะ การแย่งอำนาจ ระหว่างศาลกับเคาน์ตี และถ้ามีทนายอยู่ตรงนั้น ก็คงเตือนตั้งแต่คืนนั้นแล้วว่า “นี่จะต้องจ่ายแพงแน่”
    • และเพื่อความชัดเจน ตำรวจ ยอมความที่ 600,000 ดอลลาร์ ไม่ใช่แค่คดีถูกยกฟ้องเฉยๆ

  • ภาครัฐบอกว่า “หาคนทำงานไม่ได้” แต่ก็ยังทำเรื่องแบบนี้ แถมนายอำเภอคนนั้นก็น่าจะเป็น ตำแหน่งที่มาจากการเลือกตั้ง ด้วย

  • ถ้าใครจะต้องอยู่ในสถานการณ์แบบนี้ในอนาคต ต้องแจ้งตำรวจท้องที่ล่วงหน้าให้ครบทั้ง เป็นลายลักษณ์อักษร ทางโทรศัพท์ และพบตัว
    การมีหนังสือเห็นชอบล่วงหน้าจากตำรวจหรือ no-objection letter จะปลอดภัยกว่า และควรส่งเอกสารทั้งหมดให้ทนายด้วย โลกนี้ไม่ได้ใจดี

    • คนกลุ่มนี้ได้รับอนุญาตเป็นลายลักษณ์อักษรและการยืนยันด้วยวาจาจากศาลของรัฐแล้ว แต่พวกเขา คาดไม่ถึงความขัดแย้ง ระหว่างฝ่ายตุลาการกับนายอำเภอ
    • ที่จริงตำรวจตอบสนองได้ถูกต้องแล้ว หลังตรวจสอบตัวตนก็ปล่อยตัวทันที ปัญหาคือมี นายอำเภอคนหนึ่ง โผล่มาทีหลังแล้วทำเรื่องให้บานปลาย
    • แต่ในโลกความจริง ถ้ามีคนโทรแจ้ง ตำรวจก็ต้อง ออกไปที่เกิดเหตุเสมอ เพื่อดูว่าเกิดอะไรขึ้น สมัยก่อนตอนดูแลสนามยิงปืนก็เคยเจออะไรคล้ายๆ กัน สุดท้ายคำตอบก็มีแค่ว่า “ถ้ามีคนแจ้ง เราก็ไป”
    • แน่นอน ถ้าแจ้งตำรวจไว้ก่อน ก็อาจทำให้ ความสมจริง ของการทดสอบลดลง
    • ถ้าจุดประสงค์คือให้รัฐประเมินระดับความปลอดภัยของเคาน์ตี การแจ้งล่วงหน้าอาจทำให้ การตรวจสอบเป็นโมฆะ ได้เลย ปฏิกิริยาของนายอำเภอก็ชวนให้สงสัยว่าเขาอาจมีอะไร ต้องการปกปิด

  • เสียดายที่จบด้วยการยอมความ เข้าใจได้ว่าโจทก์คงไม่อยากสู้ต่อ แต่การ ใช้อำนาจในทางมิชอบ ของนายอำเภอควรถูกลงโทษจริงๆ

    • นายอำเภอ Chad Leonard เกษียณก่อนกำหนด ในปี 2022 (ลิงก์บทความ)
    • เขาเป็น เจ้าหน้าที่รัฐที่มาจากการเลือกตั้ง ดังนั้นสุดท้ายก็เป็นหน้าที่ของผู้มีสิทธิเลือกตั้งที่จะลงโทษเขาผ่านการลงคะแนน