Falha em API de Contratada do DoD Expôs Dados de Cursos Militares e Registros de Membros de Serviço

A Schemata, plataforma de treinamento virtual com IA para ambientes militares e de defesa, expôs dados sensíveis do Departamento de Defesa (DoD) devido à falta de verificações de autorização em sua API. Os dados comprometidos incluíam listas de usuários, registros de organizações, informações de cursos, metadados de treinamento e links diretos para documentos armazenados no ambiente AWS da Schemata. Pesquisadores conseguiram usar uma conta de baixo privilégio para solicitar dados de alto valor pertencentes a outros clientes através da API.