Уязвимость API военного подрядчика: утечка данных курсантов и учебных материалов

Компания Schemata, разрабатывающая платформу виртуального обучения для военных и оборонных структур, допустила утечку конфиденциальных данных через уязвимые API-эндпоинты. Проблема была выявлена проектом Strix — системой автоматизированного тестирования безопасности с открытым исходным кодом.

По данным Strix, обычная учетная запись с низкими правами доступа смогла получить доступ к данным нескольких клиентов платформы. В числе пострадавших материалов оказались:

• 3D-курс обучения военно-морских специалистов с пометкой «конфиденциально» и «собственность компании»;
• курс, содержащий полевые уставы Армии США по обращению с боеприпасами и тактике;
• сотни записей пользователей, связанных с военными базами и данными о зачислении на курсы.

Кроме того, в открытый доступ попали имена, адреса электронной почты, данные о зачислении и местах дислокации военнослужащих США.

Как произошла утечка

Уязвимость не требовала сложных атак. Strix использовал учетную запись с минимальными правами, отслеживал сетевой трафик браузера и выявлял API-эндпоинты, доступные через приложение. Отправляя запросы с этой учетной записи, исследователи получали данные, не относящиеся к их организации, что указывает на отсутствие должной проверки прав доступа.

В некоторых случаях API позволял не только чтение, но и запись данных. Это означает, что злоумышленник мог потенциально изменять или удалять учебные курсы, хотя Strix не проводил деструктивное тестирование.

Реакция компании и последствия

Schemata подтвердила инцидент и заявила, что не имеет доказательств того, что третьи лица воспользовались уязвимостью для доступа к данным клиентов. Платформа используется для обучения в военных и оборонных структурах, где информация о пользователях, их заданиях и курсах может раскрывать чувствительные данные.

Даже если данные не являются секретными, информация о дислокации военнослужащих, их обучении и доступе к материалам может представлять угрозу при неправомерном распространении.

Задержка в устранении уязвимости

Strix впервые сообщил о проблеме в компании 2 декабря 2025 года. По словам исследователей, генеральный директор Schemata изначально ответил: «Мне бы хотелось узнать, в чем уязвимость, но я предполагаю, что вы хотите за это заплатить. Это ваш план?»

Strix уточнил, что компенсация не требуется, и приоритетом является безопасность пользователей. Исследователи отправили несколько напоминаний с 8 по 29 декабря, предупреждая о потенциальных рисках, но полноценное устранение проблемы заняло 150 дней. Официальное подтверждение об исправлении было получено только 1 мая. Strix заявил, что проверил исправления перед публикацией отчета, который вышел через 152 дня после первого обращения.

Инцидент ставит вопросы о том, как компании, работающие с государственными данными, обрабатывают сообщения о уязвимостях и реагируют на них.