API-lek bij defensiecontractant legt gevoelige militaire trainingsdata bloot

Een Amerikaans defensiebedrijf met contracten voor het Amerikaanse ministerie van Defensie (DoD) heeft maandenlang gevoelige militaire trainingsdata en persoonsgegevens van militairen blootgelegd via onbeveiligde API-endpoints. Dat blijkt uit een onderzoek van Strix, een open-source beveiligingstestproject.

Het lek betrof Schemata, een AI-gestuurd virtueel trainingsplatform dat wordt gebruikt in militaire en defensieomgevingen. Volgens Strix kon een eenvoudig laaggeprivilegieerd account toegang krijgen tot data van meerdere organisaties, waaronder:

• Gebruikerslijsten en organisatiegegevens
• Trainingsinformatie en metadata
• Directe links naar documenten op Amazon Web Services-instances
• Naam, e-mailadres, inschrijfdetails en locaties van militairen

Onder de blootgestelde gegevens bevonden zich onder meer:

• Een 3D-virtuele training voor onderhoudspersoneel van de marine, met documentatie gemarkeerd als vertrouwelijk en eigendom van het bedrijf
• Een cursus met Army-fieldmanuals over explosievenafhandeling en tactische inzet
• Honderden gebruikersrecords gekoppeld aan militaire bases en trainingsinschrijvingen

Schemata bevestigde dat de kwetsbare endpoints op 1 mei waren afgesloten, na een zogeheten 150-daagse openbaarmakingsprocedure. Strix stelde vast dat de kwetsbaarheid was verholpen voordat het rapport werd gepubliceerd. Het onderzoek werd deze week openbaar gemaakt, 152 dagen na de eerste melding.

Volgens Strix was er geen complexe hacktechniek nodig om het lek te misbruiken. De onderzoekers gebruikten een standaard laaggeprivilegieerd account, analyseerden normale browsertraffic en identificeerden zo API-endpoints. Vervolgens vroegen ze met dezelfde sessie hoogwaardige data op, die buiten de eigen organisatie van het account werden teruggegeven. Dit wijst op een tekortkoming in de autorisatiecontroles van het platform.

In multi-tenant software moeten autorisatiecontroles ervoor zorgen dat gebruikers alleen toegang hebben tot hun eigen data en functionaliteit. Het falen zoals beschreven door Strix duidt op een fundamenteel gebrek in dit systeem. Daarnaast bleken sommige API-routes ook schrijftoegang te hebben, wat theoretisch zou kunnen leiden tot wijzigingen of verwijderingen van trainingen. Strix voerde echter geen destructieve tests uit.

Schemata’s platform wordt gebruikt in militaire en defensietrainingsomgevingen, waar persoonsgegevens, opdrachten en trainingsinformatie gevoelige operationele context kunnen onthullen. Zelfs als informatie niet als geheim is geclassificeerd, kunnen gegevens over locaties, trainingen en toegang tot materialen risico’s met zich meebrengen wanneer ze buiten de beoogde kanalen worden gedeeld.

In een verklaring op de website van het bedrijf stelt Schemata dat er geen bewijs is dat derden de kwetsbaarheid hebben misbruikt om klantgegevens te benaderen. De openbaarmakingsprocedure roept echter vragen op over hoe bedrijven die gevoelige overheidsdata beheren, omgaan met meldingen van beveiligingslekken.

Strix meldde het lek voor het eerst op 2 december 2025. Volgens het rapport reageerde de CEO van Schemata aanvankelijk met:

‘Ik zou graag horen wat de kwetsbaarheid is, maar ik neem aan dat je ervoor betaald wilt worden. Is dat het plan?’