Falha em API de empresa contratada pelo Pentágono expõe dados de militares e treinamentos

Uma empresa de tecnologia de defesa, contratada pelo Departamento de Defesa dos EUA (DoD), expôs registros de usuários e materiais de treinamento militar por meio de endpoints de API sem verificações adequadas de autorização. A descoberta foi relatada pela Strix, uma ferramenta de segurança autônoma de código aberto.

A vulnerabilidade afetou a Schemata, uma plataforma de treinamento virtual baseada em IA, utilizada em ambientes militares e de defesa. Segundo a Strix, uma conta de baixo privilégio conseguiu acessar dados de múltiplos locatários, incluindo:

• Listas de usuários e registros de organizações;
• Informações sobre cursos e metadados de treinamento;
• Links diretos para documentos hospedados em instâncias da Amazon Web Services da Schemata.

Entre os materiais expostos estavam:

• Um curso de treinamento virtual 3D para manutenção naval, com documentação marcada como confidencial e proprietária;
• Um curso contendo manuais do Exército sobre manuseio de munições explosivas e implantação tática;
• Centenas de registros de usuários vinculados a bases militares e matrículas em treinamentos.

Os dados incluíam nomes, endereços de e-mail, detalhes de matrícula e as bases militares onde os militares dos EUA estavam estacionados.

Resposta da Schemata e timeline da vulnerabilidade

A Schemata reconheceu que os endpoints afetados ficaram expostos desde 1º de maio. A Strix relatou um processo de divulgação de 150 dias antes da exposição pública. A empresa afirmou ter verificado a correção antes da publicação do relatório, que ocorreu 152 dias após a primeira tentativa de notificação.

A vulnerabilidade não exigia um exploit complexo. Segundo a Strix, os invasores poderiam:

1. Monitorar o tráfego normal do navegador com uma conta de baixo privilégio;
2. Identificar endpoints de API expostos pela aplicação;
3. Solicitar dados de alto valor usando a mesma sessão.

As solicitações retornaram registros de fora da organização da conta, indicando que a API não estava aplicando corretamente os limites de locatários ou permissões de usuário. Em softwares multi-locatários, os controles de autorização devem garantir que os usuários acessem apenas os dados e funções atribuídos à sua conta. A falha descrita pela Strix representa uma quebra nesse modelo.

A Strix também relatou que algumas rotas pareciam permitir operações de escrita, o que poderia permitir que um invasor modificasse ou deletasse cursos por meio de requisições de atualização ou exclusão. No entanto, a Strix não realizou testes destrutivos.

Riscos e implicações

A plataforma da Schemata é usada em ambientes de treinamento militar e de defesa, onde identidades de usuários, atribuições e matrículas em cursos podem revelar contexto operacional sensível. Mesmo quando as informações não são classificadas, registros que mostram onde os militares estão baseados, quais treinamentos estão fazendo e quais materiais acessam podem criar riscos se expostos fora dos canais adequados.

“Não temos evidências de que terceiros tenham explorado a vulnerabilidade para acessar dados de clientes.” — Declaração da Schemata.

A Schemata também afirmou que não houve evidências de exploração indevida dos dados expostos. No entanto, o processo de divulgação da vulnerabilidade levantou questões sobre como empresas que lidam com dados sensíveis governamentais recebem e respondem a relatórios de falhas de segurança.

Timeline da divulgação e resposta inicial

A Strix entrou em contato com a Schemata pela primeira vez em 2 de dezembro de 2025. Segundo o relato, o CEO da Schemata respondeu inicialmente: “Gostaria de saber qual é a vulnerabilidade, mas assumo que você quer ser pago por isso. É esse o jogo?”

A Strix esclareceu no mesmo dia que não havia necessidade de compensação e que sua prioridade era a segurança dos usuários. A Strix enviou múltiplos follow-ups entre 8 e 29 de dezembro, alertando sobre os riscos, mas não obteve resposta imediata.