API-sikkerhedshul i forsvarskontraktør afslører følsomme militære data

Usikrede API’er afslørede militære hemmeligheder

En amerikansk forsvarsvirksomhed med kontrakt med det amerikanske forsvarsministerium (DoD) har utilsigtet gjort følsomme militære data tilgængelige for uvedkommende via usikrede API-endepunkter. Ifølge en rapport fra Strix, et open-source sikkerhedstestværktøj, kunne en almindelig brugerkonto med lavt privilegieniveau tilgå data på tværs af flere organisationer.

Det berørte system var Schemata, en AI-drevet virtuel træningsplatform, der anvendes i militære og forsvarsmæssige sammenhænge. Ifølge Strix omfattede de eksponerede data blandt andet:

• En 3D-virtuel træningskursus for flådemekanikere med dokumentation mærket fortrolig og proprietær
• Et kursus med håndbøger fra den amerikanske hær om håndtering af sprængstoffer og taktisk udstationering
• Hundredvis af brugeroplysninger, herunder navne, e-mails, tilmeldinger og militærbaser, hvor amerikanske soldater var udstationeret

Fejlen blev opdaget for fem måneder siden

Strix opdagede problemet allerede den 2. december 2024 og forsøgte at rapportere det til Schemata. Ifølge Strix svarede virksomhedens administrerende direktør imidlertid med spørgsmålet: "Jeg vil gerne høre om sårbarheden, men antager du, at du vil have betaling for det? Er det spillet?"

Strix afviste, at der var tale om betaling, og understregede, at det primære fokus var sikkerheden for brugerne. Virksomheden sendte herefter flere opfølgende meddelelser mellem den 8. og 29. december 2024, hvor de advarede om risikoen for misbrug. Schemata erkendte først problemet den 1. maj 2025, efter en 150-dages rapporteringsproces.

Manglende adgangskontrol førte til datalæk

Ifølge Strix krævede udnyttelsen af sårbarheden ikke avancerede hackerfærdigheder. Ved blot at observere almindelig browser-trafik kunne Strix identificere API-endepunkterne og derefter anmode om følsomme data ved hjælp af den samme session. Dette resulterede i adgang til data uden for den pågældende organisations grænser, hvilket indikerer, at API’et ikke korrekt håndhævede adgangsbegrænsninger mellem organisationer (tenant-separation).

I flerbruger-systemer som Schemata er det afgørende, at adgangskontrollerne sikrer, at brugere kun kan tilgå de data og funktioner, der er tildelt deres konto eller organisation. Fejlen repræsenterer således et grundlæggende svigt i dette sikkerhedsmodel.

Strix påpegede desuden, at nogle af API-ruterne tilsyneladende var skrivbare, hvilket potentielt ville tillade en ondsindet aktør at ændre eller slette kursusmaterialer. Strix udførte dog ikke destruktive tests for at verificere dette.

Ingen tegn på misbrug – endnu

Schemata har i en officiel erklæring på sin hjemmeside oplyst, at der ikke er beviser for, at uvedkommende har udnyttet sårbarheden til at tilgå kundedata. Virksomheden understreger, at de har gennemført nødvendige rettelser for at lukke hullet.

Alligevel rejser tidslinjen for rapporteringen spørgsmål om, hvordan virksomheder, der håndterer følsomme regeringsdata, håndterer og reagerer på rapporter om sikkerhedshuller. Strix offentliggjorde sin rapport 152 dage efter det første forsøg på at rapportere problemet, hvilket understreger behovet for hurtigere og mere effektiv kommunikation mellem sikkerhedsforskere og berørte parter.

Hvad betyder dette for forsvarssektoren?

Selvom de eksponerede data ikke nødvendigvis er klassificerede, kan oplysninger om soldaters placering, træningsforløb og adgang til specifikke materialer udgøre en betydelig sikkerhedsrisiko, hvis de kommer på afveje. I militære og forsvarsmæssige sammenhænge kan sådanne oplysninger give uvedkommende indsigt i operationelle strukturer og kapaciteter.

"Dette tilfælde illustrerer, hvor kritisk det er for forsvarskontraktører at implementere robuste API-sikkerhedsforanstaltninger. Selv simple fejl i adgangskontrol kan føre til alvorlige konsekvenser for national sikkerhed."