ABD Savunma Bakanlığı yüklenicisinin API güvenlik açığı askeri verileri riske attı

ABD Savunma Bakanlığı (DoD) ile çalışan bir savunma teknolojisi şirketi, yetkisiz erişime açık API uç noktaları nedeniyle askeri eğitim materyalleri ve personel kayıtlarını korumasız bıraktı. Açık, Strix adlı açık kaynaklı otomatik güvenlik testi projesinin yayımladığı bir raporla ortaya çıktı.

Schemata adlı yapay zeka destekli sanal eğitim platformu, askeri ve savunma alanlarında kullanılan bir sistemdir. Strix’e göre, düşük yetkili sıradan bir kullanıcı hesabı, çoklu kiracı sistemindeki verileri kolayca görüntüleyebildi. Bu veriler arasında kullanıcı listeleri, kurum kayıtları, kurs bilgileri, eğitim meta verileri ve Amazon Web Services sunucularında barındırılan belgelerin doğrudan bağlantılar yer aldı.

Strix’in tespitlerine göre, açıklardan etkilenen veriler arasında şunlar bulunuyordu:

• Deniz personeli için gizli ve ticari markalı olarak işaretlenmiş 3D sanal eğitim kursu belgeleri
• Ordu’nun patlayıcı mühimmat kullanımı ve taktik konuşlandırma konulu alan el kitaplarını içeren kurs materyalleri
• Yüzlerce kullanıcı kaydı, bu kullanıcıların bağlı bulunduğu üsler ve eğitim kayıtları

Sızıntıya uğrayan bilgiler arasında ayrıca ABD askeri personelinin isimleri, e-posta adresleri, eğitim detayları ve görev yaptıkları üsler de yer alıyordu.

Schemata, etkilenen API uç noktalarının 1 Mayıs tarihinde kapatıldığını doğruladı. Strix ise bu sürecin 150 günlük bir açıklama süreci olduğunu belirtti. Strix, düzeltmelerin doğrulanmasının ardından raporunu bu hafta yayınladı. Rapor, ilk açıklama girişiminden 152 gün sonra yayımlandı.

Basit bir saldırı yöntemiyle gerçekleşen güvenlik açığı

Strix’e göre, açıklık karmaşık bir saldırı tekniği gerektirmiyordu. Düşük yetkili bir hesap kullanılarak normal tarayıcı trafiği izlendi, uygulama üzerinden açığa çıkan API uç noktaları tespit edildi ve aynı oturum kullanılarak yüksek değerli veriler talep edildi. Bu talepler, hesabın kendi kuruluşunun dışındaki kayıtları da geri döndürdü. Bu durum, API’nin kiracı sınırlarını veya kullanıcı izinlerini doğru şekilde uygulamadığını gösterdi.

Çoklu kiracılı yazılımlarda yetkilendirme kontrolleri, kullanıcıların yalnızca kendi hesaplarına veya kuruluşlarına ait verileri ve işlevleri görüntüleyebilmesini sağlamak için tasarlanmıştır. Strix’in tanımladığı başarısızlık, bu modelde temel bir çöküşe işaret ediyor.

Firmanın raporunda ayrıca bazı API yollarının "yazma yetkili" olarak göründüğü belirtildi. Bu da kötü niyetli bir saldırganın kursları güncelleme veya silme işlemleri gerçekleştirebileceği anlamına geliyor. Strix’in yıkıcı testler yapıp yapmadığına dair bir bilgi bulunmuyor.

Strix, CyberScoop’un yorum talebine yanıt vermedi.

Askeri eğitim sistemlerinde veri sızıntısının riskleri

Schemata’nın platformu, askeri ve savunma eğitim ortamlarında kullanılıyor. Bu sistemlerde kullanıcı kimlikleri, atamalar ve kurs kayıtları hassas operasyonel bağlamlar ortaya çıkarabilir. Sınıflandırılmamış olsa bile, personelin hangi üslerde görev yaptığı, hangi eğitimlere katıldığı ve hangi materyallere erişebildiği bilgileri, yetkisiz kişilerin eline geçmesi halinde risk oluşturabilir.

Schemata, şirket web sitesinde yayınladığı açıklamada, "Üçüncü şahısların bu açıklığı kullanarak müşteri verilerine eriştiğine dair herhangi bir kanıtımız yok" ifadesini kullandı.

150 günlük açıklama süreci ve endişeler

Açıklama sürecinin uzunluğu, hassas devlet verilerini işleyen şirketlerin güvenlik açıklarını nasıl ele aldığına dair soruları gündeme getirdi. Strix’e göre ilk temas 2 Aralık 2025 tarihinde Schemata ile kuruldu. Raporda, Schemata’nın CEO’sunun ilk yanıtının, "Açıklığın ne olduğunu duymak isterim, ancak bunun için ücret talep edeceğinizi varsayıyorum. Bu mu planınız?" şeklinde olduğu belirtildi. Strix aynı gün yaptığı açıklamada, ücret talep edilmediğini ve önceliklerinin kullanıcı güvenliği olduğunu iletti. Strix, 8-29 Aralık tarihleri arasında yapılan takip görüşmelerindeyse,