La empresa Schemata, proveedora de una plataforma de entrenamiento virtual para el Departamento de Defensa de EE.UU. y respaldada por a16z, sufrió una grave vulnerabilidad de seguridad que permitió el acceso no autorizado a datos sensibles. Strix, una empresa que utiliza un agente de hacking de IA de código abierto, descubrió que una cuenta estándar podía acceder a información de usuarios, organizaciones, cursos, metadatos de entrenamiento y enlaces directos a documentos en toda la plataforma, incluyendo registros de personal militar y materiales de entrenamiento clasificados. La falta de controles de autorización permitía incluso la modificación o eliminación de cursos.
Strix intentó notificar la vulnerabilidad a Schemata durante 150 días, enfrentando inicialmente una respuesta que solicitaba compensación, pero finalmente la empresa reconoció el problema y aplicó una solución. El incidente plantea serias preocupaciones sobre el cumplimiento de regulaciones de seguridad (DFARS, CMMC) y la protección de la información sensible, especialmente considerando que una cuenta estándar fue suficiente para explotar la brecha. El incidente resalta la importancia de pruebas de autorización robustas, canales de divulgación de seguridad abiertos y una respuesta a incidentes preparada, especialmente para empresas que manejan datos gubernamentales y de defensa.