Condado paga US$ 600 mil a especialistas em pentest presos durante inspeção de segurança em tribunal

 (arstechnica.com)
1 pontos por GN⁺ 2026-01-31 | 1 comentários | Compartilhar no WhatsApp
  • Dois especialistas em segurança presos em 2019 durante uma inspeção de segurança em um tribunal de Iowa receberão um acordo de US$ 600 mil em um processo por prisão indevida e difamação
  • Os dois eram testadores de intrusão da Coalfire Labs e realizavam um teste oficial de intrusão simulada de “red team” autorizado pelo Judiciário de Iowa
  • O teste especificava a inclusão de ataques físicos (como arrombamento de fechaduras), mas as autoridades locais de segurança os prenderam por acusação de furto qualificado
  • Depois, a acusação foi reduzida para invasão de propriedade de menor gravidade, mas o xerife do condado de Dallas continuou afirmando que se tratava de ato ilegal e mantendo críticas públicas
  • O caso passou a ser visto como um alerta de que profissionais de segurança podem ser presos durante testes legítimos, desencadeando mudanças significativas em todo o processo de testes de intrusão física

Visão geral do caso

  • Em 2019, Gary DeMercurio e Justin Wynn foram presos enquanto realizavam uma inspeção de segurança oficialmente aprovada no tribunal do condado de Dallas, em Iowa
    • Os dois trabalhavam para a empresa de segurança Coalfire Labs, sediada no Colorado, e conduziam uma simulação de intrusão “red team” com autorização por escrito do Judiciário de Iowa
    • O objetivo do teste era verificar a resiliência das defesas de segurança ao imitar métodos de invasão usados por criminosos ou hackers reais
  • Pelas regras, ataques físicos (como arrombamento de fechaduras) eram permitidos, desde que limitados a situações que não causassem danos significativos

Prisão e resposta judicial

  • Os dois foram presos por furto qualificado de terceiro grau, ficaram 20 horas detidos e foram soltos após pagamento de fiança de US$ 50 mil cada
  • Depois, a acusação foi reduzida para invasão de propriedade de menor gravidade, mas o xerife do condado de Dallas, Chad Leonard, continuou afirmando que o ato era ilegal e manteve a condenação pública
  • Os dois abriram processo por prisão indevida e difamação e, seis anos após o ocorrido, receberão um acordo de US$ 600 mil

Impacto do caso

  • Wynn afirmou que “esse caso não tornou ninguém mais seguro” e disse que ficou um efeito inibidor, ao mostrar que ajudar o governo a avaliar vulnerabilidades pode levar a prisão, acusação criminal e difamação
  • Esse dano à reputação pode ser fatal para a carreira de um profissional de segurança, e os clientes também passaram a reconhecer o risco
  • Após o caso, houve mudanças significativas nos procedimentos e no sistema de aprovação de testes de intrusão física

O que aconteceu na época

  • Na madrugada de 11 de setembro de 2019, os dois encontraram a porta lateral do tribunal destrancada, fecharam-na e a trancaram, depois entraram destravando a fechadura pela fresta
  • Logo após a entrada, o alarme disparou e a polícia foi acionada, levando à prisão
  • O artigo inclui a explicação de que “o motivo de esse caso ter saído do controle foi a resposta do xerife e, na maioria das jurisdições, algo assim provavelmente teria sido tratado sem acusações

Reação do setor de segurança

  • O caso gerou grande controvérsia entre profissionais de segurança e autoridades policiais
  • Ele mostrou que até testes realizados sob contrato legal válido podem ficar expostos a risco de punição criminal, despertando alerta em todo o setor de segurança
  • Como resultado, ganhou força a necessidade de fortalecer os procedimentos de aprovação e as proteções legais para pentests físicos

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-31
Comentários do Hacker News

  • A polícia chegou ao local, deteve os homens, conferiu a autorização oficial que eles apresentaram e até ligou para a pessoa responsável para confirmar que estava tudo certo
    Mas, assim que o xerife chegou, ordenou a prisão. No fim, o problema era uma única pessoa que não entendeu a situação, justamente alguém com autoridade

    • Mais do que não saber, parece que o xerife só queria comprar uma briga por poder
    • Segundo a matéria, o clima mudou completamente quando o xerife Leonard chegou. Ele disse “este prédio está sob minha jurisdição” e alegou que era uma invasão não autorizada por ele. Provavelmente foi só uma questão de ego, ou ressentimento por ter sido deixado de fora
    • Do ponto de vista legal, a prisão pode até ter sido uma medida segura até que a autenticidade dos documentos fosse verificada. O problema foi a resposta absurda depois disso

  • Lembro de ter lido sobre isso quando aconteceu pela primeira vez. Ainda bem que, no fim, houve um desfecho relativamente positivo
    Para referência, a thread do HN logo após a prisão está aqui

    • Gastar US$ 600 mil ao longo de 6 anos em batalha judicial e enfrentando acusações criminais graves é algo realmente terrível
    • Também existe um episódio do Darknet Diaries entrevistando os dois pentesters

  • O caso aconteceu em 2019, e as engrenagens da justiça giram devagar demais

    • As engrenagens da justiça civil giram ainda mais devagar
    • Justiça atrasada não é justiça
    • É absurdo passar 10% da vida adulta em disputa judicial
    • Só os ricos conseguem influenciar esse ritmo

  • Lembro como esse caso foi absurdo na época. Acho que o xerife deveria ter sido removido, mas receber US$ 100 mil por ano pela incompetência do condado de Dallas foi, ao menos, um resultado melhor do que nada

  • Esse é exatamente o tipo de história que eu quero ver no Hacker News

  • Ainda bem que as acusações foram retiradas, mas, olhando a cobertura original, havia um contexto muito mais complexo do que a matéria dá a entender
    No artigo da Ars Technica de 2019,

    • quando a polícia ligou para os contatos listados na autorização, uma pessoa negou dizendo que “não autorizou invasão física”, e a outra não atendeu. Nessa situação, fica a dúvida sobre o que a polícia deveria ter feito
    • o contrato tinha uma cláusula ambígua dizendo para “não forçar portas”, mas os dois disseram que abriram uma porta trancada com ferramentas. A redação deveria ter sido mais específica
    • havia uma cláusula de “não mexer no alarme”, mas a polícia afirmou que eles tentaram manipular o alarme. Os dois negaram
    • o fato de ter havido consumo de álcool antes da invasão também é um problema. O teor alcoólico no sangue era 0,05, então provavelmente estava mais alto no começo
    • o fato de eles não terem se identificado imediatamente e terem se escondido quando o alarme disparou e a polícia chegou também fugia do escopo do contrato
      Em resumo, a reação exagerada do xerife foi errada, mas os pentesters também não agiram de forma totalmente exemplar
    • Já executei esse tipo de teste de intrusão física antes, e sempre levávamos os contatos pessoais da pessoa responsável e uma declaração de trabalho assinada. Não consigo nem imaginar uma situação em que não fosse possível acionar o contato de emergência.
      Álcool ou dano à propriedade eram absolutamente proibidos, e, se a polícia aparecesse apontando armas, jamais nos esconderíamos.
      Como esse tipo de teste é arriscado, incluíamos na equipe alguém ex-militar ou ex-policial para garantir a segurança
    • Claro, se eu tivesse que fazer um teste de invasão em um tribunal, honestamente talvez tomasse uma ou duas cervejas para relaxar.
      Segundo a matéria, “ataques físicos” e “lockpicking” eram permitidos e, na prática, eles abriram a porta trancada sem causar danos
    • Os pentesters também têm alguma responsabilidade, mas acho difícil confiar totalmente na versão da polícia, porque seus relatos nem sempre são precisos ou honestos
    • No fim, isso tudo deveria ter sido resolvido em poucas horas. A disputa de poder entre o tribunal e o condado fez o caso explodir, e qualquer advogado teria avisado naquela mesma noite: “isso vai sair caro”
    • Vale lembrar que a polícia fechou acordo por US$ 600 mil, não foi apenas uma rejeição simples do caso

  • O setor público diz que “não consegue contratar ninguém” e mesmo assim faz esse tipo de coisa. Além disso, é bem provável que aquele xerife fosse um cargo eletivo

  • Quem vier a passar por uma situação assim no futuro precisa avisar a polícia local com antecedência, por escrito, por telefone e pessoalmente
    O mais seguro é conseguir aprovação prévia da polícia ou uma no-objection letter. Também é preciso compartilhar toda a documentação com um advogado. O mundo não é gentil

    • Eles receberam autorização por escrito e confirmação verbal do tribunal estadual, mas não previram a rivalidade entre o Judiciário e o xerife
    • Na prática, os policiais agiram corretamente. Depois de confirmar a identidade, liberaram os homens, e o problema foi um xerife que apareceu depois e escalou tudo
    • Mas, na realidade, quando há uma chamada, a polícia sempre vai atender para verificar a situação. Já vivi algo parecido operando um estande de tiro. No fim, era só isso: “se houver chamado, vamos responder”
    • Claro, avisar a polícia antes pode reduzir a autenticidade do teste
    • Se a ideia era o governo estadual avaliar o nível de segurança do condado, avisar antes poderia até invalidar a verificação. A reação do xerife levanta suspeitas de que ele tinha algo a esconder

  • É uma pena que tenha terminado em acordo. Entendo que os autores não quisessem continuar brigando, mas o abuso de poder do xerife deveria ter sido punido

    • O xerife Chad Leonard se aposentou antecipadamente em 2022 (link da matéria)
    • Como ele era um agente público eleito, no fim quem tinha que julgá-lo nas urnas eram os eleitores