אבטחת מידע צבא ארצות הברית פרטיות Stripe API מידע רגיש חולשות אבטחה Schemata הכשרה צבאית בטיחות נתונים

חברת Schemata חשפה בטעות נתוני הכשרה צבאיים ומידעי חיילים דרך API

חברת Schemata, המפעילה פלטפורמת הכשרה וירטואלית מבוססת בינה מלאכותית עבור צבא ארצות הברית וזרועות ביטחון נוספות, חשפה בטעות נתוני הכשרה צבאיים ומידעי שירות של חיילים דרך נקודות קצה של API שלא היו מוגנות כראוי. החולשה התגלתה על ידי Strix, פרויקט בדיקות אבטחה אוטונומי בקוד פתוח, אשר חשף כי חשבון בעל הרשאות נמוכות בלבד הצליח לגשת למידע רגיש ביותר.

מידע רגיש שנחשף: קורסים מסווגים ופרטי אנשי צבא

על פי הדיווח של Strix, החולשה אפשרה גישה לנתונים הבאים:

  • קורסי הכשרה וירטואליים: כולל קורס תלת-ממדי להכשרת צוותי תחזוקה ימית, המסווג כמידע סודי וקנייני, וקורס המכיל מדריכי שדה של צבא ארצות הברית לטיפול בתחמושת נפיצה ופריסת כוחות.
  • מידעי שירות של חיילים: כולל שמות, כתובות דואר אלקטרוני, פרטי הרשמה לבסיסים צבאיים ומיקומים של אנשי צבא אמריקניים.
  • מסמכים ומידע ארגוני: כולל רשימות משתמשים, פרטי ארגונים, מטא-נתוני הכשרה וקישורים ישירים למסמכים המאוחסנים בשרתי AWS של Schemata.

החולשה התגלתה באמצעות חשבון בעל הרשאות נמוכות

Strix ציין כי החולשה התגלתה באמצעות חשבון בעל הרשאות נמוכות בלבד. החוקרים זיהו נקודות קצה של API שהיו חשופות דרך היישום, ולאחר מכן ביצעו בקשות לאיסוף נתונים בעלי ערך באמצעות אותה פגישה. הבקשות החזירו רשומות מחוץ לארגון של החשבון עצמו, מה שמצביע על כך שהמערכת לא אכפה כראוי את גבולות השכירות או ההרשאות של המשתמשים.

במערכות רב-שכרתיות, בקרות ההרשאה נועדו להבטיח כי משתמשים יוכלו לגשת רק לנתונים ולפונקציות המוקצים לחשבונם או לארגונם. הכשל שתואר על ידי Strix מהווה כשל יסודי במודל זה. בנוסף, החוקרים ציינו כי חלק מהנתיבים במערכת נראו כבעלי יכולת כתיבה, מה שיכול היה לאפשר לשחקן זדוני לשנות או למחוק קורסים באמצעות בקשות עדכון או מחיקה.

תגובת Schemata והליך הגילוי

Schemata אישרה כי הנקודות הפגיעות היו חשופות החל מה-1 במאי, לאחר תהליך גילוי שנמשך 150 ימים. Strix אמר כי אימת את תיקון החולשה לפני פרסום הדיווח, אשר פורסם בתחילת השבוע הנוכחי, 152 ימים לאחר ניסיון הגילוי הראשוני שלו. החברה הצהירה כי אין לה ראיות לכך שצד שלישי ניצל את החולשה כדי לגשת לנתוני לקוחותיה.

הליך הגילוי מעלה שאלות לגבי האופן שבו חברות המטפלות בנתוני ממשל רגישים מטפלות בדיווחי חולשות. Strix אמר כי יצר קשר ראשוני עם Schemata ב-2 בדצמבר 2025. על פי הדיווח, מנכ"לית החברה הגיבה בתחילה: "הייתי שמחה לשמוע מהי החולשה, אך אני מניחה שאתה רוצה לקבל תשלום עבור זה. זו העסקה?" Strix הבהיר באותו יום כי לא נדרש תשלום וכי מטרתו העיקרית היא בטיחות המשתמשים. לדבריו, הוא שלח מספר פניות נוספות בין ה-8 ל-29 בדצמבר, תוך אזהרה מפני הסיכונים הנשקפים.

השלכות אבטחה ופרטיות

פלטפורמת Schemata משמשת סביבות הכשרה צבאיות וביטחוניות, שבהן זהויות המשתמשים, המשימות וההרשמות לקורסים יכולים לחשוף הקשרים מבצעיים רגישים. גם כאשר המידע אינו מסווג, רשומות המציגות היכן אנשי צבא מוצבים, באילו הכשרות הם רשומים ואילו חומרים הם יכולים לגשת אליהם עלולות להוות סיכון אם הן נחשפות מחוץ לערוצים המיועדים.

"הכשל באבטחת ה-API מייצג כשל יסודי במודל ההרשאות הרב-שכרתי, המאפשר גישה לנתונים רגישים באמצעות חשבון בעל הרשאות נמוכות בלבד. זהו תרחיש מסוכן במיוחד כאשר מדובר בנתוני צבא ואנשי צבא."

— דיווח Strix

מסקנות והמלצות

החולשה המדווחת מדגישה את החשיבות של:

  • בדיקות אבטחה שוטפות: כולל בדיקות עצמאיות של נקודות קצה של API והגנות ההרשאה.
  • תגובה מהירה לדיווחי חולשות: במיוחד כאשר מדובר בנתוני ממשל רגישים.
  • הגברת המודעות לסיכוני אבטחה: בקרב חברות המספקות שירותים לממשל ולזרועות הביטחון.
מקור: CyberScoop
מגבלות הלוואות הסטודנטים של טראמפ מאיימות על עתיד מערכת הבריאות
← הקודם

מגבלות הלוואות הסטודנטים של טראמפ מאיימות על עתיד מערכת הבריאות

 ג'יין פונדה ספדה לבעלה לשעבר טד טרנר: 'היית אהוב ונשאר לנצח בזיכרון'
הבא →

ג'יין פונדה ספדה לבעלה לשעבר טד טרנר: 'היית אהוב ונשאר לנצח בזיכרון'