Sicherheitslücke bei Zero-Auth: DoD-Auftragnehmer droht Datenzugriff über Tenants hinweg

Anstatt Daten zurückzugeben, die auf das Testkonto beschränkt waren, lieferte das System global Daten über die gesamte Plattform. Das Fehlen üfungen auf Routen mit Schreibberechtigung bedeutete, dass ein bösartiger Akteur potenziell Trainingskurse vollständig modifizieren oder löschen konnte. Zero-Auth-Schwachstelle legt DoD-Auftragnehmer offen.

Das Ausmaß der exponierten Daten stellte ein massives Risiko für die Betriebssicherheit dar. Über einen Endpunkt zur Auflistung Testkonto auf die gesamte Benutzerbasis zugreifen. Dabei wurden Namen, E-Mail-Adressen, Anmeldedaten sowie die spezifischen Militärstützpunkte, an denen US-Soldaten stationiert waren, offengelegt. Dieses Ausmaß der Offenlegung macht das Personal anfällig für gezielte Phishing- und Doxing-Angriffe.

Neben persönlichen Aufzeichnungen enthüllten Endpunkte für Kurse und Organisationen Metadaten und direkte AWS S3-Links zu Hunderten vertraulicher Schulungshandbücher.

Dies umfasste einen 3D-virtuellen Trainingskurs für

Dies umfasste einen 3D-virtuellen Trainingskurs für Wartungspersonal der Marine, der als proprietär gekennzeichnet war, sowie Artillerie-Handbücher, die die sichere Handhabung, die Bewaffnungsabfolgen und den taktischen Einsatz meldete die Schwachstelle zunächst am 2. Dezember 2025 vertraulich an Schemata und hob dabei Herausforderungen bei der verantwortungsvollen Offenlegung hervor.

Trotz mehrfacher Nachfassaktionen, in denen auf die kritische Natur des Exploits hingewiesen wurde, blieb die Schwachstelle monatelang aktiv. Erst am 1. Mai 2026, nach der ersten Offenlegung und nach einer letzten Ankündigung der bevorstehenden Veröffentlichung, räumte Schemata die exponierten Endpunkte ein und brachte einen sofortigen Patch auf. Die Forscher haben die Behebung seitdem überprüft.

Für Verteidigungsauftragnehmer ist die API-Sicherheit eine strenge regulatorische Anforderung nach Bundesvorschriften wie DFARS 252.204-7012. Die Cybersecurity Maturity Model Certification (CMMC) verpflichtet Auftragnehmer, die Controlled Unclassified Information (CUI) verarbeiten, zu verbindlichen Cybersicherheits- und Meldepflichten bei Sicherheitsverletzungen.

Eine Plattform, die militärische Trainingsdaten ohne eine API-Autorisierungsschicht bereitstellt, stellt ein fundamentales Sicherheitsversagen dar. Kunden und Partner im Verteidigungssektor werden dringend aufgefordert, sich über Zugriffsprotokolle, die Dauer der Offenlegung und ob die betroffenen Benutzer formell benachrichtigt wurden, zu informieren. Sie uns auf