【少做少錯】受僱測試資料庫安全 黑客試攻其他系統即被捕
Pentest 滲透測試係發掘網絡系統漏洞嘅好方法,所以唔少政府部門或企業都會外判服務供應商進行測試。但美國就有兩個網絡安全專家喺執行測試時,懷疑殺得性起,做多咗嘗試強行爆入法院大樓,再攻埋其他系統,結果搞到官非纏身!
上星期三,美國愛荷華州(Iowa)達拉斯縣(Dallas)法院發現有不明人士闖入法院大樓,觸動警報系統,結果警衛拉咗兩個入侵者。兩個入侵者分別係 Justin Wynn 同 Gary Demercurio,被捕時二人即刻話係受到達拉斯縣政府所僱用,目的係測試法院嘅安全系統。起初當局回應話無咁嘅事,但經查明係,證實 State Court Administration(SCA)的確係僱用咗網絡安全公司 Coalfire 為系統進行滲透測試,而 Justin 同 Gary 就係 Coalfire 嘅員工。
雖然證實咗真係派出社員,但 SCA 話佢哋只係請 Coalfire 幫手測試法庭紀錄系統有無漏洞,無預期對方除咗經網絡入侵,仲會硬闖入法院大樓。
由於案件已經進入法律程序,所以 SCA 話唔方便再回應案件內容,但就表明唔承認爆格行為屬於網絡安全或任何測試嘅一部分,換句話即係同 Coalfire 方面割席。Coalfire 亦無直接回應爆格事件,只係話佢哋已同唔少政府部門合作過,員工亦一直以最高誠信去完成客戶交付落嚟嘅目標,所以到底係溝通出錯抑或兩個安全專家自把自為,就要睇下雙方簽訂嘅合約內容。二人暫被獲准以 5 萬美元保釋,法院初喺 9 月 23 日舉行初步聽訊。
