Uma vulnerabilidade crítica de autorização zero na API da plataforma de treinamento virtual Schemata, que possui contratos ativos com o Departamento de Defesa dos EUA (DoD), expôs recentemente materiais de treinamento militar altamente sensíveis e registros de membros das forças armadas americanas. Descoberta pelo agente de hacking de IA de código aberto Strix, a falha permitiu que contas de baixo privilégio acessassem dados entre inquilinos em toda a plataforma.
A natureza da falha de autorização zero
A vulnerabilidade originou-se de uma falta completa de limites de autorização e isolamento de inquilinos na API da aplicação. Quando o Strix estabeleceu uma linha de base de baixo privilégio e mapeou as superfícies de API alcançáveis, conseguiu reproduzir endpoints de coleta de alto valor usando uma sessão padrão. A API falhou em impor escopo organizacional ou verificações de permissão.
Em vez de retornar dados restritos à conta de teste, o sistema retornou globalmente dados em toda a plataforma. Além disso, a ausência de verificações de autorização em rotas habilitadas para gravação significava que um ator malicioso poderia ter potencialmente modificado ou excluído cursos de treinamento inteiramente.
Escopo dos dados expostos
O escopo dos dados expostos representou um risco operacional de segurança massivo. Através de um endpoint de listagem de usuários, a conta de teste não privilegiada acessou toda a base de usuários, revelando nomes, endereços de e-mail, dados de inscrição e as bases militares específicas onde os membros das forças armadas dos EUA estavam estacionados.
Esse nível de exposição deixa o pessoal altamente vulnerável a ataques de phishing direcionado e doxing. Além dos registros pessoais, endpoints de curso e organização vazaram metadados e links diretos do AWS S3 para centenas de manuais de treinamento confidenciais. Isso incluiu um curso de treinamento virtual 3D para pessoal de manutenção naval marcado como proprietário, bem como manuais de campo do Exército detalhando o manuseio seguro, sequências de armamento e implantação tática de ordens explosivas.
Timeline da descoberta e resposta
O Strix relatou a vulnerabilidade privadamente à Schemata em 2 de dezembro de 2025, destacando desafios na divulgação responsável. Apesar de múltiplas tentativas de acompanhamento alertando sobre a natureza crítica da exploração, a vulnerabilidade permaneceu ativa por meses. Não foi até 1 de maio de 2026, 150 dias após a divulgação inicial e após um aviso final de publicação iminente, que a Schemata reconheceu os endpoints expostos e aplicou um patch imediato. Os pesquisadores desde então verificaram a remediação.
Implicações regulatórias e conformidade
Para contratantes de defesa, a segurança da API é um requisito regulatório estrito sob regras federais como a DFARS 252.204-7012. O Cybersecurity Maturity Model Certification (CMMC) exige que contratantes que lidam com Informações Não Classificadas Controladas (CUI) tenham obrigações obrigatórias de cibersegurança e notificação de violação.
Uma plataforma que serve dados de treinamento militar sem uma camada de autorização de API representa uma falha de segurança fundamental. A exposição de dados sensíveis do governo e a falha em proteger informações controladas podem resultar em consequências legais e financeiras severas para a empresa contratante.
Recomendações para contratantes de defesa
Clientes e parceiros no setor de defesa são fortemente encorajados a solicitar logs de acesso, a duração da exposição e se os usuários afetados foram formalmente notificados. As organizações devem revisar suas implementações de API para garantir que o isolamento de inquilinos seja rigorosamente aplicado e que as verificações de autorização sejam implementadas em todos os endpoints.
Lições aprendidas sobre segurança de API
Este incidente destaca a importância crítica de testar continuamente as APIs em busca de falhas de autorização. O uso de agentes de hacking de IA como o Strix para descoberta de vulnerabilidades demonstra como a automação pode acelerar a identificação de falhas de segurança. As organizações devem considerar programas de bug bounty e testes de penetração regulares para identificar e corrigir vulnerabilidades antes que sejam exploradas por atores maliciosos.
Perguntas frequentes
Quais dados foram expostos? Dados pessoais de membros das forças armadas, registros de treinamento e manuais militares confidenciais.
Quanto tempo a vulnerabilidade permaneceu ativa? Aproximadamente 150 dias após a divulgação inicial.
Como evitar falhas semelhantes? Implementar verificações de autorização rigorosas em todas as APIs e realizar testes de segurança regulares.