Zero-auth propust u Schemata platformi izložio podatke američkog vojnog osoblja
Istraživač Alex Schapiro, koristeći open-source AI hacking agent Strix, otkrio je kritičan propust u autorizaciji na Schemata platformi za vojnu obuku, koja ima ugovore sa američkim Ministarstvom odbrane. Propust je omogućavao običnom nalogu sa niskim privilegijama da preko API-ja prelazi granice tenant-a i pristupa podacima drugih organizacija i korisnika. Prema tekstu, izloženi su bili podaci o korisnicima, email adrese, upisi na kurseve, rasporedi po vojnim bazama, metapodaci trening modula i direktni AWS S3 linkovi ka poverljivim materijalima za obuku. Problem je prijavljen 2. decembra 2025, ali je ostao aktivan skoro 150 dana, sve dok Schemata nije objavila zakrpu 1. maja 2026.
Kod platformi koje rade za odbrambeni sektor, API autorizacija nije tehnički detalj nego granica između legitimnog pristupa i curenja podataka kroz ceo sistem. Ako običan korisnik može da vidi podatke drugih tenant-a, onda multi-tenant arhitektura postoji samo na papiru, a podaci o vojnim licima, bazama i obukama postaju materijal za phishing, doxing, izviđanje i šire operativne posledice.
- Organizacije koje su koristile Schemata platformu treba da zatraže access logove za period od decembra 2025. do maja 2026.
- Proveriti da li je bilo cross-tenant API upita, masovnog izvlačenja korisničkih podataka ili pristupa S3 linkovima
- Rotirati tokene, API ključeve i kredencijale povezane sa platformom i integracijama
- Kod DoD i CUI sistema posebno testirati tenant isolation, object-level authorization i write-enabled API rute
- U vendor assessment uključiti dokaz o autorizacionim testovima, ne samo opšte tvrdnje o compliance-u, DFARS-u ili CMMC-u