API-säkerhetsbrist hos försvarsföretag läckte känsliga militära data

Ett amerikanskt försvarsteknikföretag med uppdrag åt USA:s försvarsdepartement har exponerat känsliga militära utbildningsmaterial och personuppgifter via osäkra API-gränssnitt. Säkerhetsforskare vid det öppna säkerhetstestningsprojektet Strix upptäckte bristen och krävde över 150 dagar för att få företaget att åtgärda problemet.

Enligt Strix påverkades Schemata, en AI-driven virtuell utbildningsplattform som används inom militär och försvar. Genom att utnyttja ett konto med låga rättigheter kunde forskarna komma åt data från flera olika organisationer, inklusive användarlistor, organisationsposter, kursinformation, utbildningsmetadata och direktlänkar till dokument på Schematas AWS-instanser.

Bland de exponerade materialen fanns en 3D-virtuell utbildningskurs för underhållspersonal inom flottan med dokument märkta som konfidentiella och proprietära. Dessutom fanns en kurs innehållande arméns fältmanualer för hantering av explosiva ämnen och taktisk utplacering. Hundratals användarposter kopplade till militärbaser och utbildningsanmälningar exponerades också.

Den exponerade informationen inkluderade namn, e-postadresser, anmälningsuppgifter och de militärbaser där amerikanska försvarsanställda var stationerade. Schemata medgav att de exponerade API-gränssnitten var åtkomliga från och med den 1 maj, efter en 150-dagars rapporteringsprocess. Strix uppgav att de verifierade att problemet åtgärdats innan publiceringen och publicerade sin rapport tidigare denna vecka, 152 dagar efter den första rapporteringen.

Ingen komplex attack krävdes

Enligt Strix krävdes ingen avancerad attack för att utnyttja bristen. Forskare använde ett konto med låga rättigheter för att observera normal webbläsartrafik, identifiera exponerade API-gränssnitt och begära högvärdiga data med samma session. Dessa förfrågningar returnerade poster från organisationer utanför det egna kontots gränser, vilket tyder på att API:et inte tillämpade korrekta gränser för organisationer eller användarrättigheter.

I flerhyresystem är autentiseringskontroller avsedda att säkerställa att användare endast kan komma åt data och funktioner som tillhör deras konto eller organisation. Strix hävdar att det rapporterade felet innebär ett grundläggande misslyckande i denna modell. Företaget uppgav också att vissa API-rutter verkade vara skrivaktiverade, vilket innebär att en illasinnad aktör potentiellt skulle kunna modifiera eller ta bort kurser via uppdaterings- eller raderingsförfrågningar. Strix genomförde dock inte destruktiva tester.

Risken med exponerad information

Schematas plattform används i militär och försvarsutbildningar, där användaridentiteter, uppdrag och kursanmälningar kan avslöja känslig operativ information. Även om informationen inte är hemlig kan poster som visar var försvarsanställda är stationerade, vilken utbildning de genomgår och vilka material de har tillgång till skapa risker om de exponeras utanför avsedda kanaler.

"Vi har inga bevis för att tredje part utnyttjade sårbarheten för att komma åt kunddata."

Detta uttalande kommer från Schemata i ett pressmeddelande på deras webbplats. Rapporteringsprocessen väcker också frågor om hur företag som hanterar känsliga statliga data hanterar och svarar på rapporter om säkerhetsbrister.

Långsam respons från Schemata

Enligt Strix kontaktade de Schemata första gången den 2 december 2025. Schematas VD svarade enligt Strix inledningsvis: "Jag skulle gärna höra vad sårbarheten är, men jag antar att du vill ha betalt för det. Är det det du menar?"

Strix klargjorde samma dag att ingen ersättning krävdes och att deras prioritet var användarnas säkerhet. De skickade sedan flera påminnelser mellan den 8 och 29 december och varnade för riskerna, men fick ingen omedelbar respons.