Un fallo de autenticación cero expone al contratista del Departamento de Defensa al acceso a datos entre inquilinos

Una grave vulnerabilidad de autorización cero en la API de Schemata, una plataforma de entrenamiento virtual impulsada por IA que tiene contratos activos con el Departamento de Defensa (DoD), expuso recientemente materiales de entrenamiento militar altamente confidenciales y registros de miembros del servicio estadounidense. Descubierta por el agente de piratería de inteligencia artificial de código abierto Strix, la falla permitió que cuentas comunes y con pocos privilegios accedieran a datos de inquilinos cruzados en toda la plataforma.

La vulnerabilidad se debió a una falta total de límites de autorización y aislamiento de inquilinos en la API de la aplicación. En lugar de devolver datos restringidos a la cuenta de prueba, el sistema devolvió datos globalmente en toda la plataforma. Una falla de autenticación cero expone al contratista del Departamento de Defensa El alcance de los datos expuestos representó un enorme riesgo de seguridad operativa. A través de un punto final de listado de usuarios, la cuenta de prueba sin privilegios accedió a toda la base de usuarios, revelando nombres, direcciones de correo electrónico, datos de inscripción y las bases militares específicas donde estaban estacionados los miembros del servicio estadounidense.

Una plataforma que proporciona datos de entrenamiento militar sin una capa de autorización API representa una falla de seguridad fundamental. La publicación La falla de autenticación cero expone al contratista del Departamento de Defensa al acceso a datos entre inquilinos apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗