अदालत सुरक्षा जांच के दौरान गिरफ्तार किए गए ethical hackers को county ने $600,000 का भुगतान किया

 (arstechnica.com)
1 पॉइंट द्वारा GN⁺ 2026-01-31 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • 2019 में Iowa की एक अदालत की सुरक्षा जांच के दौरान गिरफ्तार किए गए दो सुरक्षा विशेषज्ञों को गलत गिरफ्तारी और मानहानि के मुकदमे में $600,000 का सेटलमेंट मिलेगा
  • दोनों Coalfire Labs के penetration testers थे और Iowa judiciary की औपचारिक अनुमति से ‘red team’ mock intrusion test कर रहे थे
  • टेस्ट में physical attack (जैसे lock picking) शामिल होने की स्पष्ट अनुमति थी, लेकिन स्थानीय सुरक्षा अधिकारियों ने उन्हें felony burglary के आरोप में गिरफ्तार कर लिया
  • बाद में आरोप घटाकर misdemeanor trespassing कर दिया गया, लेकिन Dallas County Sheriff ने इसे अब भी गैरकानूनी बताते हुए सार्वजनिक आलोचना जारी रखी
  • इस घटना को इस चेतावनी के रूप में देखा जा रहा है कि सुरक्षा विशेषज्ञ वैध टेस्ट के दौरान भी गिरफ्तार हो सकते हैं, और इससे physical penetration testing की पूरी प्रक्रिया में बड़े बदलाव शुरू हुए

घटना का सार

  • 2019 में Gary DeMercurio और Justin Wynn को Iowa के Dallas County courthouse में औपचारिक रूप से स्वीकृत सुरक्षा जांच करते समय गिरफ्तार किया गया
    • दोनों Colorado-आधारित सुरक्षा कंपनी Coalfire Labs से थे और Iowa judiciary की लिखित अनुमति के आधार पर ‘red team’ mock intrusion कर रहे थे
    • इस टेस्ट का उद्देश्य असली अपराधियों या hackers की घुसपैठ की तकनीकों की नकल करके सुरक्षा रक्षा प्रणाली की मजबूती की जांच करना था
  • नियमों के अनुसार physical attack (जैसे lock picking) की अनुमति थी, बशर्ते इससे गंभीर नुकसान न हो

गिरफ्तारी और कानूनी प्रतिक्रिया

  • दोनों को third-degree felony burglary के आरोप में गिरफ्तार किया गया, 20 घंटे हिरासत में रखा गया, और बाद में प्रत्येक को $50,000 bond पर रिहा किया गया
  • बाद में आरोप घटाकर misdemeanor trespassing कर दिया गया, लेकिन Dallas County Sheriff Chad Leonard ने इसे अब भी गैरकानूनी बताते हुए सार्वजनिक निंदा जारी रखी
  • दोनों ने गलत गिरफ्तारी और मानहानि के आधार पर मुकदमा दायर किया, और घटना के 6 साल बाद उन्हें $600,000 का सेटलमेंट मिला

घटना का प्रभाव

  • Wynn ने कहा, “इस घटना ने किसी को भी अधिक सुरक्षित नहीं बनाया,” और यह भी कहा कि सरकारी सिस्टम की कमजोरियां जांचने में मदद करने वाला काम गिरफ्तारी, अभियोजन और मानहानि तक पहुंच सकता है, जिससे एक chilling effect पैदा हुआ
  • इस तरह की प्रतिष्ठा-हानि सुरक्षा विशेषज्ञों के करियर के लिए घातक हो सकती है, और ग्राहकों ने भी इस जोखिम को गंभीरता से देखना शुरू किया
  • घटना के बाद physical penetration testing की प्रक्रिया और approval framework में महत्वपूर्ण बदलाव हुए

घटना के समय क्या हुआ

  • 11 सितंबर 2019 की तड़के, दोनों ने पाया कि अदालत के साइड एंट्रेंस का दरवाजा बंद तो था लेकिन लॉक नहीं था; उन्होंने उसे बंद करके लॉक किया, फिर दरार के जरिए locking mechanism को disengage कर अंदर प्रवेश किया
  • अंदर घुसते ही alarm बज उठा, पुलिस पहुंची, और गिरफ्तारी हुई
  • लेख के अनुसार, “यह मामला नियंत्रण से बाहर इसलिए गया क्योंकि Sheriff की प्रतिक्रिया ऐसी थी; ज्यादातर इलाकों में ऐसे मामले को बिना आरोप बंद कर दिया जाता”

सुरक्षा उद्योग की प्रतिक्रिया

  • इस घटना ने security और law enforcement समुदायों के बीच बड़ा विवाद खड़ा किया
  • इसने दिखाया कि वैध अनुबंध के तहत किया गया टेस्ट भी आपराधिक सजा के जोखिम में आ सकता है, जिससे पूरे security industry में सतर्कता बढ़ी
  • नतीजतन physical mock hacking के approval process और कानूनी सुरक्षा उपायों को मजबूत करने की जरूरत अधिक स्पष्ट हुई

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-31
Hacker News की टिप्पणियाँ

  • पुलिस मौके पर आई, उन लोगों को हिरासत में लिया, उनके द्वारा दिखाया गया आधिकारिक अनुमति पत्र जांचा, और जिम्मेदार व्यक्ति को फोन करके यह भी पक्का किया कि सब कुछ वैध है
    लेकिन जैसे ही शेरिफ पहुँचा, उसने गिरफ्तारी का आदेश दे दिया। आखिरकार समस्या एक ही ऐसे व्यक्ति से थी जो स्थिति को समझ नहीं पाया, और वह भी अधिकार प्राप्त व्यक्ति था

    • ऐसा कम लगता है कि शेरिफ को पता नहीं था; ज़्यादा लगता है कि वह बस सत्ता की लड़ाई लड़ना चाहता था
    • लेख के अनुसार, शेरिफ Leonard के आते ही माहौल अचानक बदल गया। उसने कहा, “यह इमारत मेरे अधिकार क्षेत्र में है,” और दावा किया कि यह ऐसा घुसपैठ का मामला था जिसे उसने मंजूरी नहीं दी थी। संभव है कि यह सिर्फ अहम का मामला था, या उसे इस बात से नाराज़गी थी कि उसे अलग रखा गया
    • कानूनी नज़रिए से देखें तो, कागज़ात की सत्यता की पुष्टि होने तक गिरफ्तारी सुरक्षित कदम हो सकती थी। समस्या उसके बाद की बेतुकी प्रतिक्रिया थी

  • मुझे याद है कि जब यह घटना पहली बार हुई थी तब मैंने इस पर लेख पढ़ा था। फिर भी अच्छा है कि इसका अंत कुछ हद तक सकारात्मक रहा
    जानकारी के लिए, गिरफ्तारी के तुरंत बाद का HN thread यहाँ है

    • 6 साल की कानूनी लड़ाई और felony charges का सामना करते हुए $600,000 खर्च करना, सच में भयावह है
    • Darknet Diaries में इन दो pentesters का इंटरव्यू वाला episode भी है

  • यह घटना 2019 में हुई थी, और न्याय के पहिए सचमुच बहुत धीरे चलते हैं

    • civil lawsuit के पहिए तो और भी धीरे चलते हैं
    • न्याय में देरी, न्याय से इनकार के बराबर है
    • वयस्क जीवन का 10% समय अदालतों में लड़ाई लड़ने में बिताना बेहूदा है
    • केवल अमीर लोग ही इस रफ़्तार को प्रभावित कर सकते हैं

  • मुझे याद है कि उस समय यह मामला कितना बेतुका लगा था। मेरे हिसाब से शेरिफ को हटाया जाना चाहिए था, लेकिन Dallas County की अक्षमता के लिए सालाना $100,000 के हिसाब से मुआवज़ा मिलना फिर भी अपेक्षाकृत बेहतर नतीजा है

  • यही वह तरह की कहानी है जो मैं Hacker News पर देखना चाहता हूँ

  • अच्छा है कि आरोप हटा दिए गए, लेकिन मूल रिपोर्टिंग देखें तो मामला लेख में दिखने से कहीं ज़्यादा जटिल संदर्भ वाला था
    2019 का Ars Technica लेख देखें,

    • जब पुलिस ने अनुमति पत्र में दिए गए संपर्क नंबरों पर फोन किया, तो एक व्यक्ति ने कहा कि “physical intrusion को मंजूरी नहीं दी गई थी,” और दूसरे ने फोन ही नहीं उठाया। ऐसी स्थिति में पुलिस को क्या करना चाहिए था, यह सवाल वाजिब है
    • कॉन्ट्रैक्ट में “दरवाज़ा ज़बरदस्ती न खोलें” जैसा अस्पष्ट वाक्य था, लेकिन दोनों ने कहा कि उन्होंने बंद दरवाज़ा औज़ार से खोला। भाषा और स्पष्ट होनी चाहिए थी
    • “alarm से छेड़छाड़ न करें” वाली शर्त थी, लेकिन पुलिस का दावा था कि वे alarm से छेड़छाड़ करने की कोशिश कर रहे थे। दोनों ने इससे इनकार किया
    • घुसपैठ से पहले शराब पीना भी समस्या थी। उनका blood alcohol content 0.05 था, इसलिए शुरू में यह शायद और ज़्यादा रहा होगा
    • alarm बजने और पुलिस आने पर उन्होंने तुरंत अपनी पहचान नहीं बताई और छिप गए, यह भी कॉन्ट्रैक्ट के दायरे से बाहर था
      निष्कर्ष यह है कि शेरिफ की अति-प्रतिक्रिया गलत थी, लेकिन pentesters ने भी पूरी तरह पाठ्यपुस्तक जैसे आदर्श तरीके से काम नहीं किया था
    • मैंने पहले ऐसे physical penetration test किए हैं, और हम हमेशा जिम्मेदार व्यक्ति का निजी संपर्क नंबर और signed statement of work साथ रखते थे। ऐसी आपात स्थिति की कल्पना भी नहीं कर सकता था जहाँ किसी से संपर्क न हो पाए।
      शराब पीना या संपत्ति को नुकसान पहुँचाना बिल्कुल मना था, और अगर पुलिस बंदूक लेकर पहुँचती थी तो हम कभी नहीं छिपते थे।
      ऐसे test जोखिमभरे होते हैं, इसलिए सुरक्षा के लिए टीम में पूर्व सैनिक या पूर्व पुलिसकर्मी शामिल किए जाते थे
    • बेशक, अगर मुझे अदालत में घुसपैठ का test करना पड़ता, तो सच कहूँ तो तनाव कम करने के लिए शायद एक-दो बीयर पी लेता।
      लेख के अनुसार “physical attacks” और “lockpicking” की अनुमति थी, और वास्तव में उन्होंने बंद दरवाज़ा बिना नुकसान पहुँचाए खोला था
    • pentesters की भी कुछ जिम्मेदारी बनती है, लेकिन पुलिस के बयान हमेशा सटीक या ईमानदार हों, यह मान लेना मुश्किल है, इसलिए उन पर पूरी तरह भरोसा करना कठिन है
    • आखिरकार ऐसी स्थिति कुछ घंटों में सुलझ जानी चाहिए थी। अदालत और county के बीच सत्ता संघर्ष की वजह से मामला बढ़ता गया, और अगर कोई वकील वहाँ होता तो उसी रात कह देता, “इसकी कीमत बहुत महँगी पड़ेगी”
    • और हाँ, पुलिस ने $600,000 पर समझौता किया था; मामला सिर्फ खारिज नहीं हुआ था

  • public sector कहता रहता है कि “लोग काम करने को मिलते नहीं,” और फिर ऐसी हरकतें करता है। ऊपर से, वह शेरिफ शायद निर्वाचित पदाधिकारी भी था

  • आगे अगर कोई ऐसी स्थिति में पड़े, तो उसे ज़रूर लिखित, फोन, और आमने-सामने स्थानीय पुलिस को पहले से सूचना देनी चाहिए
    पुलिस की पूर्व स्वीकृति या no-objection letter लेना अधिक सुरक्षित है। वकील के साथ भी सारे दस्तावेज़ साझा करने चाहिए। दुनिया दयालु नहीं है

    • इन्हें राज्य अदालत से लिखित अनुमति और मौखिक पुष्टि मिली थी, लेकिन इन्होंने न्यायपालिका और शेरिफ के बीच की खींचतान की कल्पना नहीं की थी
    • वास्तव में पुलिस अधिकारियों ने सही प्रतिक्रिया दी थी। पहचान की पुष्टि के बाद उन्होंने तुरंत छोड़ दिया था; समस्या बाद में आए एक शेरिफ ने बढ़ाई
    • लेकिन व्यवहारिक रूप से, शिकायत आते ही पुलिस हर हाल में पहुँचती है और स्थिति समझती है। जब मैं पहले shooting range चलाता था तब भी ऐसा ही अनुभव हुआ था। अंत में बात बस इतनी थी कि “कॉल आई तो वे आएँगे”
    • बेशक, अगर पुलिस को पहले से बता दिया जाए तो test की वास्तविकता कम हो सकती है
    • अगर मकसद राज्य सरकार की ओर से county की सुरक्षा क्षमता का आकलन करना था, तो पूर्व सूचना देना उल्टा मूल्यांकन को अमान्य कर सकता है। शेरिफ की प्रतिक्रिया से कुछ छिपाने की मंशा पर शक होता है

  • अफ़सोस है कि मामला समझौते पर खत्म हुआ। यह समझ आता है कि वादी और लड़ना नहीं चाहते थे, लेकिन शेरिफ के सत्ता के दुरुपयोग को ज़रूर दंड मिलना चाहिए था

    • शेरिफ Chad Leonard ने 2022 में समय से पहले सेवानिवृत्ति ले ली थी (लेख लिंक)
    • वह निर्वाचित लोक अधिकारी था, इसलिए अंततः मतदाताओं को ही वोट के ज़रिए फैसला करना था