Sicherheitslücke bei Zero-Auth: DoD-Auftragnehmer droht Datenzugriff über Tenants hinweg
Eine schwerwiegende Zero-Authorization-Schwachstelle in der API , einer KI-gestützten virtuellen Trainingsplattform mit aktiven Verträgen des Department Defense (DoD), hat kürzlich hochsensible militärisch
Kurzfassung
Warum das wichtig ist
- Eine schwerwiegende Zero-Authorization-Schwachstelle in der API , einer KI-gestützten virtuellen Trainingsplattform mit aktiven Verträgen des Department Defense (DoD), hat kürzlich hochsensible militärisch
- Die Sicherheitslücke resultierte aus einem vollständigen Fehlen der Anwendungsschnittstelle (API).
- Als Strix eine Basis mit geringen Berechtigungen etablierte und die erreichbaren API-Oberflächen kartierte, konnte es hochkarätige Endpunkte erfolgreich mit einer Standard-Sitzung wiedergeben (replay).
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine schwerwiegende Zero-Authorization-Schwachstelle in der API , einer KI-gestützten virtuellen Trainingsplattform mit aktiven Verträgen des Department Defense (DoD), hat kürzlich hochsensible militärisch
Warum relevant
Die API versagte dabei, die organisationsspezifische Abgrenzung oder Berechtigungsprüfungen durchzusetzen.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Die API versagte dabei, die organisationsspezifische Abgrenzung oder Berechtigungsprüfungen durchzusetzen. Anstatt Daten zurückzugeben, die auf das Testkonto beschränkt waren, lieferte das System global Daten über die gesamte Plattform.
Das Fehlen üfungen auf Routen mit Schreibberechtigung bedeutete, dass ein bösartiger Akteur potenziell Trainingskurse vollständig modifizieren oder löschen konnte. Zero-Auth-Schwachstelle legt DoD-Auftragnehmer offen. Das Ausmaß der exponierten Daten stellte ein massives Risiko für die Betriebssicherheit dar.
Über einen Endpunkt zur Auflistung Testkonto auf die gesamte Benutzerbasis zugreifen. Dabei wurden Namen, E-Mail-Adressen, Anmeldedaten sowie die spezifischen Militärstützpunkte, an denen US-Soldaten stationiert waren, offengelegt. Dieses Ausmaß der Offenlegung macht das Personal anfällig für gezielte Phishing- und Doxing-Angriffe.
Neben persönlichen Aufzeichnungen enthüllten Endpunkte für
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/zero-auth-flaw-exposes-dod-contractor/
- Quell-URL
- https://cybersecuritynews.com/zero-auth-flaw-exposes-dod-contractor/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Historische Kernanlage wird zu modernem Kernbrennelement-Produktionszentrum
Das technologieorientierte US-Unternehmen Zeno Power hat mit dem Betreiber NorthStar einen Mietvertrag für das ehemalige Vallecitos-Kernkraftwerk in Kalifornien unterzeichnet, um dort unter Nutzung der Hot-Cell-Infrastruktur Kernbatterien für Regierungs- und Verteidigungssektoren herzustellen. Nach geplanten nicht-radioaktiven Vorarbeiten sollen die nuklearen Produktionsaktivitäten noch in diesem Jahr beginnen, wobei die Lieferung der ersten Produkte für 2027 und der Übergang zur Serienproduktion für 2028 vorgesehen sind.
20.06.2026
Live Redaktion
