Zero-authorization vulnerability trong API của Schemata đã làm lộ dữ liệu đào tạo quân sự và hồ sơ người dùng với phạm vi rộng, cho thấy rủi ro bảo mật nghiêm trọng khi API authorization và tenant isolation không được triển khai đúng cách.
Lỗ hổng được phát hiện bởi công cụ mã nguồn mở Strix trên nền tảng đào tạo ảo dùng AI của Schemata. Hệ thống này đang vận hành các dịch vụ liên quan đến hợp đồng DoD, và lỗi cho phép tài khoản thường, có đặc quyền thấp, truy cập dữ liệu giữa nhiều tenant mà không bị kiểm soát.
Điểm cốt lõi của zero-authorization vulnerability nằm ở việc API không áp dụng ranh giới phân quyền. Khi Strix thiết lập một tài khoản baseline với quyền thấp và dò các bề mặt API có thể truy cập, công cụ đã tái phát các endpoint thu thập dữ liệu bằng phiên đăng nhập chuẩn. Hệ thống trả về dữ liệu toàn cục thay vì chỉ dữ liệu gắn với tài khoản thử nghiệm.
Nguyên nhân kỹ thuật
Lỗi xuất phát từ việc thiếu hoàn toàn cơ chế kiểm tra quyền trên các tuyến API. Hệ thống không áp dụng scoping theo tổ chức và cũng không kiểm tra quyền trước khi trả về dữ liệu. Đây là một dạng API security failure có ảnh hưởng trực tiếp đến an toàn thông tin của dữ liệu nhạy cảm.
Trên các route có khả năng ghi, việc không có kiểm soát xác thực phù hợp còn tạo ra nguy cơ sửa đổi hoặc xóa toàn bộ khóa học đào tạo. Trong ngữ cảnh lỗ hổng CVE hoặc cảnh báo CVE, đây là kiểu lỗi thường được xếp vào nhóm remote code execution theo rủi ro hệ thống, dù bài toán thực tế ở đây là truy cập trái phép và thao túng dữ liệu qua API.
Phạm vi dữ liệu bị lộ cho thấy mức độ nghiêm trọng của zero-authorization vulnerability. Qua endpoint liệt kê người dùng, tài khoản thử nghiệm đã truy cập toàn bộ cơ sở người dùng, bao gồm tên, địa chỉ email, dữ liệu ghi danh và các căn cứ quân sự nơi người dùng được bố trí.
Mức độ lộ lọt này làm tăng nguy cơ phishing có chủ đích và doxing. Khi dữ liệu định danh kết hợp với thông tin vị trí và đơn vị đào tạo, kẻ tấn công có thể xây dựng hồ sơ mục tiêu chính xác hơn cho các chiến dịch xâm nhập mạng.
Ngoài dữ liệu cá nhân, endpoint của khóa học và tổ chức còn rò rỉ metadata cùng các liên kết trực tiếp đến AWS S3 chứa hàng trăm tài liệu đào tạo mật. Một số tài liệu bị lộ bao gồm khóa học 3D cho nhân sự bảo trì hải quân, cùng tài liệu dã chiến mô tả cách xử lý an toàn, trình tự lắp đặt và triển khai chiến thuật của vật liệu nổ.
Đối với zero-authorization vulnerability, đây là tình huống mà một rủi ro an toàn thông tin có thể dẫn đến rò rỉ dữ liệu nhạy cảm trên diện rộng, thay vì chỉ là lỗi truy cập đơn lẻ.
Chuỗi phát hiện và khắc phục
Strix đã báo cáo lỗ hổng riêng cho Schemata vào ngày 2/12/2025. Sau đó, nhiều lần nhắc nhở tiếp theo đã được gửi đi để cảnh báo về mức độ nghiêm trọng của khai thác, nhưng lỗi vẫn tồn tại trong thời gian dài.
Đến ngày 1/5/2026, tức 150 ngày sau thông báo ban đầu và sau cảnh báo cuối cùng về việc sẽ công bố, Schemata mới xác nhận các endpoint bị lộ và triển khai bản vá ngay lập tức. Nhóm nghiên cứu sau đó xác minh việc khắc phục đã có hiệu lực.
Thông tin về cách phát hiện có thể tham khảo từ bài viết của Strix tại nguồn gốc công bố: https://www.strix.ai/blog/how-strix-found-zero-auth-vulnerability-dod-backed-startup.
Yêu cầu bảo mật với API trong môi trường hợp đồng
Với các nhà thầu quốc phòng, API security là yêu cầu tuân thủ bắt buộc theo các quy định như DFARS 252.204-7012. Ngoài ra, CMMC yêu cầu các đơn vị xử lý Controlled Unclassified Information (CUI) phải có nghĩa vụ an ninh mạng và báo cáo sự cố bắt buộc.
Khi một nền tảng phục vụ dữ liệu đào tạo quân sự không có lớp authorization trên API, lỗi đó phản ánh thất bại nền tảng về bảo mật thông tin. Trong thực tế, điều này thường dẫn đến các vấn đề như hệ thống bị xâm nhập, xâm nhập trái phép hoặc đánh cắp dữ liệu, tùy theo cách kẻ tấn công khai thác các endpoint bị bỏ quên.
Điểm kiểm tra cần rà soát
- Kiểm tra toàn bộ API authorization trên cả route đọc và ghi.
- Đảm bảo scoping theo tenant và theo tổ chức được áp dụng bắt buộc.
- Rà soát quyền truy cập trên endpoint liệt kê người dùng, dữ liệu khóa học và metadata tổ chức.
- Kiểm tra các liên kết trực tiếp đến AWS S3 và cơ chế chia sẻ tài liệu.
- Lưu nhật ký truy cập để xác định phạm vi rò rỉ dữ liệu và thời gian bị lộ.
Tham chiếu kỹ thuật
Thông tin nền về đánh giá và theo dõi lỗ hổng có thể được đối chiếu qua NVD – National Vulnerability Database. Việc đối chiếu này hữu ích khi cần chuẩn hóa mức độ ảnh hưởng, theo dõi bản vá bảo mật và liên hệ với các lỗ hổng CVE tương tự trong môi trường API.
Phân tích tác động vận hành
Trong bối cảnh nền tảng đào tạo ảo, zero-authorization vulnerability không chỉ gây thông tin rò rỉ mà còn ảnh hưởng trực tiếp đến tính toàn vẹn nội dung học tập. Việc một tài khoản thấp quyền có thể truy cập dữ liệu đa tenant cho thấy hệ thống không có rào chắn đủ mạnh cho an toàn dữ liệu.
Đây là dạng lỗi cần được xem như một cảnh báo CVE về kiến trúc phân quyền, đặc biệt khi dữ liệu liên quan đến nhân sự, tài liệu nội bộ và các liên kết lưu trữ đám mây được phơi bày cùng lúc. Nếu không có cập nhật bản vá kịp thời và kiểm tra xác minh sau vá, nguy cơ hệ thống bị tấn công sẽ tiếp tục tồn tại ở mức cao.
