Hacker News 中文摘要

RSS订阅

确保国防部承包商安全:发现多租户授权漏洞 -- Securing a DoD Contractor: Finding a Multi-Tenant Authorization Vulnerability

文章摘要

文章披露了一家国防承包商Schemata的重大API授权漏洞,普通账户可跨租户访问敏感军事训练数据和美军人员记录。漏洞暴露150天后,公司才修复问题。该平台主要为军方提供AI虚拟训练服务。

文章总结

标题:国防承包商安全漏洞:发现多租户授权缺陷

来源网址:https://www.strix.ai/blog/how-strix-found-zero-auth-vulnerability-dod-backed-startup 发布时间:2026-05-03

核心内容:

安全研究团队Strix发现,由知名风投Andreessen Horowitz投资、持有美国国防部(DoD)现役合同的Schemata公司,其API接口存在严重的授权缺失问题。通过普通用户账户,攻击者能够跨租户访问包括现役军人记录和敏感军事训练材料在内的核心数据。

事件时间线: - 2025年12月2日:首次联系Schemata公司,CEO误以为研究人员索要报酬 - 2025年12月-2026年1月:多次跟进警告漏洞严重性,未获实质性回应 - 2026年5月1日:在准备公开漏洞前,Schemata最终确认问题并立即修复 - 2026年5月3日:漏洞公开(距首次披露152天后)

漏洞详情: 1. 数据暴露范围: - 全部用户数据(含美军人员姓名、邮箱、驻地基地信息) - 数百份机密训练手册及AWS S3直链 - 具备写入权限的API路由(可修改/删除课程内容)

  1. 典型暴露内容:
    • 标有"机密"字样的海军维护人员3D训练课程
    • 陆军爆炸物处理战术手册
    • 可推断军种职能的培训注册信息

行业影响: 1. 合规风险: - 违反DFARS 252.204-7012法规 - 可能构成CMMC框架下的可报告事件

  1. 安全隐患:
    • 使现役军人面临钓鱼攻击和人肉搜索风险
    • 无需特权账户即可实施数据窃取

建议措施: - 企业用户:应要求Schemata提供数据暴露详情和日志审查报告 - 开发者:必须实施严格的租户隔离和权限验证 - 企业主:需建立畅通的安全漏洞披露渠道

注:本文所有截图均经过脱敏处理,隐去了令牌、个人标识等敏感信息。研究团队强调,公开漏洞旨在促进行业安全建设,而非针对涉事企业。

(全文共5段,保留原始事实细节的同时,删减了重复的技术测试过程描述,优化了时间线呈现方式,突出了军事数据泄露的特殊严重性。)

评论总结

总结评论内容如下:

  1. 对Schemata公司及CEO的批评
    多位评论者认为该公司及其CEO应承担责任,特别是CEO对漏洞报告的回应被认为不妥。
    引用:

    • "Yikes, Schemata and that delinquent CEO should be held accountable."
    • "Well that’s pretty damning."(指CEO的回应)
  2. 对技术术语使用的意见
    有评论者建议避免使用缩写(如aXXb),认为这会增加理解难度。
    引用:

    • "Would it be possible to stop using aXXb nomenclature within the titles?"
    • "a16z = 'Andreessen Horowitz', for those not in the know."
  3. 对AI安全初创公司的看法
    部分人认为AI安全公司可能约束其他科技公司,但也有人对隐私保护持怀疑态度。
    引用:

    • "Finally the AI security startup hustlers will keep the other tech startup hustlers in line."
    • "Maybe the era of devastating leaks... will come to an end (doubtful)."
  4. 对漏洞严重性的讨论
    评论者指出漏洞本身并不复杂(如缺乏权限检查),并质疑其合规认证。
    引用:

    • "There was no meaningful organization scoping... no permission check..."
    • "Let me guess though. They are SOC2 and ISO compliant right ?"
  5. 漏洞发现与报告机制的问题
    有人探讨漏洞发现方法,并关注独立研究者如何安全报告问题(尤其是涉及国防承包商时)。
    引用:

    • "How do people find these vulnerabilities... some kind of generic API scanner?"
    • "How do independent researchers do this with legal safety? Especially when DoD is involved?"
  6. 对漏洞价值的评价
    有观点认为漏洞本身普通,但AI能否自动化发现此类问题值得关注。
    引用:

    • "this is a pretty boring one... secured largely by the fact that few people knew about it."
    • "It's interesting if AI systems can 'spot' these... 'hm, ok, sure' kind of interesting."

(注:评论4仅包含链接,未提供实质性观点;其他未提及的评论或因重复观点或信息量不足未纳入总结。)