Оборонная технологическая компания с контрактами Министерства обороны раскрыла пользовательские записи и военные учебные материалы через API-конечные точки, которые не прошли значимых проверок авторизации, согласно аккаунту, опубликованному Strix — открытым проектом автономного тестирования безопасности.

Проблема затронула Schemata — виртуальную тренировочную платформу на базе ИИ, используемую в военных и оборонных сферах. По данным Strix, обычный аккаунт с низкими привилегиями мог получать доступ к данным нескольких арендаторов, включая списки пользователей, записи организаций, информацию о курсах, метаданные обучения и прямые ссылки на документы, размещённые на Amazon Web Services от Schemata.

Стрикс сообщил, что среди обнаруженных материалов был 3D-виртуальный учебный курс для военно-морского технического персонала с документацией, отмеченной как конфиденциальная и конфиденциальная, курс с армейскими половыми руководствами по обращению с взрывчатыми веществами и тактическому развертыванию, а также сотни записей пользователей, связанных с базами и наборами на обучение. Кроме того, раскрытая информация включала имена, адреса электронной почты, данные о зачислении и военные базы, на которых служили военнослужащие США.

Schemata признала, что затронутые конечные точки были выявлены 1 мая, после того, что Strix описал как 150-дневный процесс раскрытия информации. Strix заявила, что проверила исправление до публикации и опубликовала свой аккаунт ранее на этой неделе, через 152 дня после первоначальной попытки раскрытия информации.

Сообщенная уязвимость не требовала сложного эксплойта. Strix заявила, что использует аккаунт с низкими привилегиями для мониторинга обычного трафика браузера, выявления API-конечных точек, доступных через приложение, и запроса ценных данных с помощью той же сессии. По словам Strix, эти запросы возвращали записи из-за пределов собственной организации аккаунта, что свидетельствует о том, что API ненадлежащим образом обеспечивал соблюдение границ арендаторов или права пользователей.

В многоарендном программном обеспечении контроль авторизации предназначен для того, чтобы пользователи могли получить доступ только к данным и функциям, назначенным их аккаунту или организации. Сбой, описанный Стрикс, представляет собой базовый сбой этой модели. Компания заявила, что некоторые маршруты также выглядели как «с возможностью записи», то есть злоумышленник мог потенциально изменять или удалять курсы через запросы на обновление или удаление, хотя в аккаунте не указано, что Strix проводил разрушительное тестирование.

Strix не ответила на запрос CyberScoop о комментарии.

Платформа Schemata обслуживает военную и оборонную учебную среду, где идентификация пользователей, назначения и записи на курсы могут раскрывать чувствительный оперативный контекст. Даже если информация не засекречена, записи о том, где находятся военнослужащие, какое обучение они проходят и какие материалы могут получить доступ, могут создавать риски при обнаружении вне предполагаемых каналов.

В заявлении, опубликованном на сайте компании, Schemata заявила, что у неё нет «доказательств того, что какая-либо третья сторона использовала уязвимость для доступа к данным клиентов».

Сроки раскрытия также вызывают вопросы о том, как компании, работающие с конфиденциальными государственными данными, принимают и реагируют на отчёты об уязвимости. Strix сообщила, что впервые связалась со Schemata 2 декабря 2025 года. Согласно рассказу, генеральный директор Schemata изначально ответил: «Мне бы хотелось узнать, в чём уязвимость, но предполагаю, что вы хотите получать за это деньги. Это та самая пьеса?»

Strix заявила, что в тот же день уточнила, что компенсация не требуется, а приоритетом является безопасность пользователей. Компания сообщила, что с 8 по 29 декабря была отправлена несколько последующих сообщений, предупреждая о критической уязвимости и спрашивая, куда лучше отправить детали. Пять месяцев спустя, сообщив Schemata, что исследователи публикуют информацию публично, Schemata ответила, признала выявленные конечные точки и заявила, что немедленно решит проблему.

«После того как мы получили оперативную информацию об уязвимости и подтвердили, что исследователь безопасности выглядит легитимно, наша команда в тот же день устранила уязвимость, а исследователь независимо проверил исправление перед публикацией своих выводов», — говорится в заявлении Schemata. «Мы благодарны исследователю безопасности, которые обратили наше внимание на это и внесли вклад в безопасность нашей платформы.»

Schemata сообщила, что работает с консультантами по кибербезопасности, чтобы помочь в реагировании и улучшить уровень безопасности. Компания также сообщила, что поддерживает контакт с государственными органами по поводу уязвимости.

Оборонные подрядчики, занимающиеся контролируемой несекретной информацией (CUI), обязаны сообщать о киберинцидентах в Центр по борьбе с киберпреступлениями Министерства обороны (DC3). Центр не ответил на запрос CyberScoop о комментарии.

Согласно По контрактам с данными, компания владеет контрактами на сумму 3,4 миллиона долларов с Министерством обороны. В мае 2025 года Schemata объявила о венчурном финансировании в размере 5 миллионов долларов от нескольких компаний, включая Andreessen Horowitz.