كوبا Cyber Tour
تقييم البنية التحتية للمؤسسات الحكومية والعسكرية والحكومية - بدءًا من تكتل GAESA الذي تبلغ قيمته 18 مليار دولار وحتى تسريب بيانات المواطنين غير الموثقة APIs.
الجيش يدير الاقتصاد. لقد رسمنا خريطة للبنية التحتية التي نسوا قفلها.
حول هذا التحقيق
تقييم على مرحلتين OSINT للبنية التحتية للحكومة الكوبية. V1 (يناير 2026) وثّق 131 نطاقًا .gob.cu عبر 20 فئة – الرئاسة، والوزارات، والجيش، ووسائل الإعلام الحكومية، والبنية التحتية، والقضاء، ومؤسسات الدولة. V2 (مارس 2026) توسعت إلى 2052 نطاقًا عبر شهادة الشفافية وتعداد DNS، مما كشف عن البصمة الرقمية لمجموعة GAESA العسكرية، ومورد برامج نقطة الفشل الفردية الكارثي (Guajiritos S.R.L.)، وAPIs غير المصادق عليه الذي يكشف عشرات الآلاف من سجلات الدفع مع العملاء. PII. يتم الحصول على جميع البيانات بشكل سلبي من خلال التدوير متعدد العقد في Tor - دون الحاجة إلى استغلال أو مصادقة.
GAESA: الجيش يدير الإنترنت أيضًا
GAESA (Grupo de Administración Empresarial S.A.) هي مجموعة تجارية تابعة للجيش الكوبي، تسيطر على ما يقدر بنحو 40% من الاقتصاد الوطني و95% من المعاملات بالعملة الأجنبية. من بين 42 شركة فرعية تم فحصها، 34 منها ليس لديها سجلات DNS - إجمالي العتامة الرقمية. لكن الـ 20% الموجودين على الإنترنت يشتركون في بائع برنامج واحد، وشهادة SSL واحدة، ومجموعة واحدة من APIs غير المصادق عليها. شركة واحدة - Guajiritos S.R.L. - بناء وتشغيل جميع تكنولوجيا المعلومات السياحية لأكثر من 20 شركة GAESA. إن التنازل عن Guajiritos يعني التنازل عن البنية التحتية لحجز السياحة بأكملها في كوبا، والمراسي العسكرية، والسياحة الطبية، وأسطول السيارات المستأجرة.
شبكة السياحة GAESA
7 شركات، شهادة SSL واحدة، شاركت كل شيء
| شركة | اِختِصاص | دور |
|---|---|---|
| هافاناتور إس. | *.havanatursa.com | منصة الحجز الرئيسية (12 نطاقًا فرعيًا API) |
| جروبو كوباناكان | *.grupocubanacan.com | المجموعة السياحية |
| ماريناس جافيوتا إس.إي. | *.marinasgaviotasa.com | المارينا العسكرية / السياحة البحرية |
| كوباناكان إس. | *.cubanacansa.com | مشغل السياحة |
| أوكاتورز | *.okaturs.com | مشغل السياحة |
| رابطة الدول المستقلة لا براديرا | *.cislapradera.com | السياحة العلاجية / المركز الصحي الدولي |
| أوفرتاس للسفر | *.ofertastravel.com | مشغل السياحة |
النتائج الحاسمة
تم الكشف عن البيانات دون مصادقة عبر الحكومة الكوبية والبنية التحتية العسكرية
| العثور على | مصدر | تأثير |
|---|---|---|
| 31,684 سجل دفع مع العميل PII | سياحة جايسا APIs | أكثر من 13,800+ بريد إلكتروني، و27,500+ رقم هاتف |
| جرد كامل لأسطول السيارات المستأجرة | هافاناتور API | 156 مركبة، الأسعار، التوفر |
| 805 فرع بنك بإحداثيات GPS | بانكو سنترال API | خريطة البنية التحتية المالية كاملة |
| نظام سعر الصرف الثلاثي مكشوف | بانكو سنترال API | الأسعار الرسمية وغير الرسمية وأسعار العملات المشفرة |
| 5,313 سجلاً للطلاب بالهوية الوطنية | UCLV جيتلاب | كامل PII: الأسماء وأرقام CI وبيانات التسجيل |
| Laravel APP_KEY + بيانات اعتماد DB | يلتزم UCLV GitLab | القدرة على تنفيذ التعليمات البرمجية عن بعد |
| تشفير تجزئة كلمة المرور | UCLV جيتلاب | خطر سرقة بيانات الاعتماد |
| منح كلمة مرور OpenID Connect | نظام مصادقة UCLV | نقطة نهاية المصادقة المباشرة لكلمة المرور |
| موظف ETECSA PII في شهادة SSL | شفافية الشهادة | تسرب البيانات التنظيمية الداخلية |
| WordPress تعداد المستخدمين (14 حساب) | الصحة والتعليم والإعلام .gob.cu | Gravatar التجزئة، أهداف تسجيل الدخول |
| إحداثيات المقر العسكري لـ MINFAR GPS | البيانات الوصفية العامة | أفينيدا إندبندنسيا، لا هافانا 10400 |
| تم تعيين 12 معرفًا لـ Google Analytics | المواقع الحكومية | التتبع عبر المواقع ورسم خرائط العلاقات |
أوراق الاعتماد والأسرار
بيانات الاعتماد المكشوفة، وتجزئة كلمة المرور، ومفاتيح API، وPII عبر كلا التقييمين
V1 — مجموعة البنية التحتية الحكومية
131 نطاقًا عبر 20 فئة - يناير 2026
V2 — GAESA والبنية التحتية العميقة
2052 نطاقًا - تكتل عسكري، وGitLab الجامعي، والخدمات المصرفية APIs - مارس 2026