Kesalahan API Kontraktor Pertahanan AS Paparkan Data Pelatihan Militer dan Catatan Personel

Kesalahan Keamanan Dasar Mengekspos Data Sensitif

Sebuah perusahaan teknologi pertahanan yang memiliki kontrak dengan Departemen Pertahanan Amerika Serikat (DoD) diketahui mengekspos data pengguna dan materi pelatihan militer melalui titik akhir API yang tidak memiliki sistem otorisasi yang memadai. Laporan ini disampaikan oleh Strix, sebuah proyek pengujian keamanan otonom sumber terbuka.

Masalah ini memengaruhi Schemata, sebuah platform pelatihan virtual berbasis AI yang digunakan dalam lingkungan militer dan pertahanan. Menurut Strix, akun dengan hak akses rendah biasa dapat mengakses data lintas beberapa tenant, termasuk daftar pengguna, catatan organisasi, informasi kursus, metadata pelatihan, serta tautan langsung ke dokumen yang disimpan di instansi Amazon Web Services milik Schemata.

Data Sensitif yang Terpapar

Data yang terekspos meliputi:

• Kursus pelatihan virtual 3D untuk personel pemeliharaan angkatan laut dengan dokumentasi bertanda confidential dan proprietary;
• Kursus yang berisi manual lapangan Angkatan Darat mengenai penanganan amunisi peledak dan penyebaran taktis;
• Ratusan catatan pengguna yang terhubung dengan pangkalan militer dan pendaftaran pelatihan;
• Nama, alamat email, detail pendaftaran, serta pangkalan militer tempat personel AS ditempatkan.

Proses Pengungkapan yang Panjang

Schemata mengakui bahwa titik akhir yang terpapar telah terbuka sejak 1 Mei, setelah proses pengungkapan selama 150 hari sebagaimana dijelaskan oleh Strix. Strix menyatakan telah memverifikasi perbaikan sebelum publikasi dan menerbitkan laporannya minggu ini, tepat 152 hari setelah upaya pengungkapan awal.

Kerentanan yang dilaporkan tidak memerlukan eksploitasi kompleks. Strix mengungkapkan bahwa mereka menggunakan akun dengan hak akses rendah untuk memantau lalu lintas browser normal, mengidentifikasi titik akhir API yang terekspos melalui aplikasi, serta meminta data bernilai tinggi menggunakan sesi yang sama. Menurut Strix, permintaan tersebut mengembalikan catatan dari luar organisasi akun tersebut, menunjukkan bahwa API tidak menerapkan batasan tenant atau izin pengguna dengan benar.

Kegagalan Otorisasi Dasar

Dalam perangkat lunak multi-tenant, kontrol otorisasi dimaksudkan untuk memastikan pengguna hanya dapat mengakses data dan fungsi yang ditetapkan untuk akun atau organisasi mereka. Kegagalan yang dijelaskan oleh Strix menunjukkan kegagalan dasar dalam model tersebut. Perusahaan tersebut juga menyebutkan bahwa beberapa rute API tampaknya memiliki fitur write-enabled, yang berarti aktor jahat berpotensi memodifikasi atau menghapus kursus melalui permintaan pembaruan atau penghapusan, meskipun laporan tidak menyebutkan bahwa Strix melakukan pengujian destruktif.

Risiko terhadap Keamanan Operasional

Platform Schemata digunakan dalam lingkungan pelatihan militer dan pertahanan, di mana identitas pengguna, penugasan, dan pendaftaran kursus dapat mengungkapkan konteks operasional sensitif. Meskipun informasi tersebut tidak diklasifikasikan, catatan mengenai pangkalan personel, kursus yang diikuti, dan materi yang diakses dapat menimbulkan risiko jika terekspos di luar saluran yang dituju.

Dalam pernyataan di situs webnya, Schemata menyatakan tidak memiliki bukti bahwa pihak ketiga mengeksploitasi kerentanan untuk mengakses data pelanggan.

Proses Pelaporan yang Mempertanyakan

Jangka waktu pengungkapan juga memunculkan pertanyaan mengenai bagaimana perusahaan yang menangani data pemerintah sensitif menerima dan menanggapi laporan kerentanan. Strix menyatakan pertama kali menghubungi Schemata pada 2 Desember 2025. Menurut laporan tersebut, CEO Schemata awalnya menanggapi,

"Saya ingin tahu apa kerentanannya, tapi saya duga Anda ingin dibayar untuk itu. Begitu kan?"

Strix menyatakan telah menjelaskan pada hari yang sama bahwa kompensasi tidak diperlukan dan prioritas mereka adalah keselamatan pengguna. Mereka juga mengirimkan beberapa tindak lanjut dari 8 hingga 29 Desember, memperingatkan bahwa kerentanan tersebut dapat menyebabkan eksploitasi lebih lanjut.