Kuba Cyber Tour

Bewertung der Infrastruktur von Regierungen, Militärs und Staatsunternehmen – vom 18-Milliarden-Dollar-Konglomerat von GAESA bis hin zu nicht authentifizierten APIs-Leaks von Bürgerdaten.

Das Militär regiert die Wirtschaft. Wir haben die Infrastruktur kartiert, die sie vergessen hatten, zu sperren.

← Zurück zu Cyber Tours
2,052 Gescannte Domänen
31,684 Zahlungsaufzeichnungen offengelegt
5,313 Schüler-PII-Aufzeichnungen
805 Bankfilialen (GPS)
131 Regierungsdomänen (V1)
42 GAESA-Tochtergesellschaften
13,800+ Einzigartige E-Mails durchgesickert
307 MB Vollständiger Beweis

Über diese Untersuchung

Zweistufige OSINT Bewertung der kubanischen Regierungsinfrastruktur. V1 (Januar 2026) dokumentierte 131 .gob.cu Domänen in 20 Kategorien – Präsidentschaft, Ministerien, Militär, Staatsmedien, Infrastruktur, Justiz und Staatsunternehmen. V2 (März 2026) wurde über Zertifikatstransparenz und DNS-Aufzählung auf 2.052 Domänen erweitert, wodurch der digitale Fußabdruck des GAESA-Militärkonglomerats, eines katastrophalen Single-Point-of-Failure-Softwareanbieters (Guajiritos S.R.L.) und nicht authentifizierter APIs Zehntausende Zahlungsdatensätze mit Kunden offengelegt wurden PII. Alle Daten werden passiv durch Tor-Multi-Node-Rotation erhalten – keine Ausnutzung, keine Authentifizierung erforderlich.

GAESA: Das Militär betreibt auch das Internet

GAESA (Grupo de Administración Empresarial S.A.) ist der Geschäftskonzern des kubanischen Militärs, der schätzungsweise 40 % der Volkswirtschaft und 95 % der Devisentransaktionen kontrolliert. Of 42 subsidiaries probed, 34 have zero DNS records — total digital opacity. But the 20% that are online share a single software vendor, a single SSL certificate, and a single set of unauthenticated APIs. Ein Unternehmen – Guajiritos S.R.L. — builds and operates all tourism IT for 20+ GAESA companies. Ein Kompromiss bei Guajiritos bedeutet einen Kompromiss bei der gesamten touristischen Buchungsinfrastruktur, den Militärhäfen, dem medizinischen Tourismus und der Mietwagenflotte Kubas.

GAESA-Tourismusnetzwerk

7 Unternehmen, 1 SSL-Zertifikat, alles geteilt

UnternehmenDomainRolle
Havanatur S.A.*.havanatursa.comHauptbuchungsplattform (12 API Subdomains)
Grupo Cubanacan*.grupocubanacan.comTourismusgruppe
Marinas Gaviota S.A.*.marinasgaviotasa.comMilitärhafen/nautischer Tourismus
Cubanacan S.A.*.cubanacansa.comTourismusbetreiber
Okaturs*.okaturs.comTourismusbetreiber
GUS La Pradera*.cislapradera.comMedizintourismus / Internationales Gesundheitszentrum
Angebote für Reisen*.ofertastravel.comTourismusbetreiber

Kritische Erkenntnisse

Daten werden ohne Authentifizierung in der gesamten kubanischen Regierungs- und Militärinfrastruktur offengelegt

FindenQuelleAuswirkungen
31.684 Zahlungsdatensätze mit Kunde PIIGAESA Tourismus APIsÜber 13.800 E-Mails, über 27.500 Telefonnummern
Vollständiger Bestand an MietwagenflottenHavanatur API156 Fahrzeuge, Preise, Verfügbarkeit
805 Bankfilialen mit GPS-KoordinatenBanco Central APIVollständige Karte der Finanzinfrastruktur
Dreifaches Wechselkurssystem aufgedecktBanco Central APIOffizielle, informelle und Krypto-Kurse
5.313 Studentenakten mit PersonalausweisenUCLV GitLabVollständig PII: Namen, CI-Nummern, Registrierungsdaten
Laravel APP_KEY + DB-AnmeldeinformationenUCLV GitLab-CommitsMöglichkeit zur Remote-Codeausführung
Bcrypt-Passwort-HashesUCLV GitLabRisiko des Diebstahls von Anmeldedaten
OpenID Connect-PasswortgewährungUCLV-AuthentifizierungssystemEndpunkt für die direkte Passwortauthentifizierung
ETECSA-Mitarbeiter PII im SSL-ZertifikatZertifikatstransparenzInternes organisatorisches Datenleck
WordPress Benutzeraufzählung (14 Konten)Gesundheit, Bildung, Medien .gob.cuGravatar Hashes, Anmeldeziele
Koordinaten des MINFAR-Militärhauptquartiers GPS.Öffentliche MetadatenAvenida Independencia, La Habana 10400
12 Google Analytics-IDs zugeordnetRegierungswebsitesCross-Site-Tracking und Relationship-Mapping

Anmeldeinformationen und Geheimnisse

Offengelegte Anmeldeinformationen, Passwort-Hashes, API-Schlüssel und PII in beiden Bewertungen

🔑
V2-Bericht über offengelegte Anmeldeinformationen
Laravel APP_KEY (RCE), Root-DB-Passwörter, Bcrypt-Hashes, OpenID-Passwortgewährung
Sicht
🔑
V1 Alle Anmeldeinformationen
Zusammengestellte Anmeldeinformationen von 131 Regierungsdomänen
Sicht
🔐
WordPress Passwort-Hashes
Alle gesammelten WP-Hashes über .gob.cu-Domänen
Sicht
🔐
Gravatar Hashes
E-Mail-Hashes aus der Benutzeraufzählung WordPress.
Sicht
📧
Master-E-Mail-Liste
64 E-Mail-Adressen der Regierung extrahiert
Sicht
👤
Alle Benutzernamen
14 aufgezählte Konten auf allen staatlichen CMS-Plattformen
Sicht
📞
Telefonnummern
Aus der Infrastruktur extrahierte Regierungstelefonnummern
Sicht
👤
Social-Media-Handles
Social-Media-Konten der Regierung identifiziert
Sicht
🔧
Konfigurationslecks
Offengelegte Serverkonfigurationen und Debug-Endpunkte
Durchsuchen
🔥
Kuba gepwned
OSINT Social-Media-Beiträge und visuelle Beweise
Durchsuchen

V1 – Sammlung staatlicher Infrastruktur

131 Domains in 20 Kategorien – Januar 2026

🏛
01 – Präsidentschaft
Exekutive, Kommunistische Partei (PCC)
Durchsuchen
🏛
02 – Ministerien
Infrastruktur der Regierungsministerien
Durchsuchen
🛡
03 – Militär und Sicherheit
MINFAR, MININT, Aduana (Zoll)
Durchsuchen
📺
04 – Staatsmedien
Granma, Cubadebate, Radio Rebelde, Juventud Rebelde
Durchsuchen
05 – Infrastruktur
ETECSA, Versorgungsunternehmen, Telekommunikation
Durchsuchen
06 – Justiz
Gerichte, Staatsanwälte
Durchsuchen
🏛
07 – Andere Regierung
Banken, Gesundheitswesen, Bildung, staatliche Unternehmen
Durchsuchen
📄
08 — HTML Quelle
Offline-HTML-Kopien von Regierungsseiten
Durchsuchen
🔒
09 – SSL-Zertifikate
16 Zertifikate gesammelt und analysiert
Durchsuchen
🔌
10 — APIs
Erkannte API Endpunkte
Durchsuchen
🔎
11 – Tracking-IDs
12 Google Analytics-IDs zugeordnet
Durchsuchen
💻
12 – Tech-Stacks
CMS, Frameworks, Server-Fingerprints
Durchsuchen
🚨
13 – Kritische Ergebnisse
Expositionen mit hohem Schweregrad
Durchsuchen
🤖
14 – KI-Ergebnisse
KI-gestützte Analyseergebnisse
Durchsuchen
🗃
15 – Rohdeponien
Rohdatenextraktion
Durchsuchen
🗃
16 – Rohexporte
Exportierte Scandaten
Durchsuchen
🔑
17 – Offenlegung von Anmeldeinformationen
Referenzen und Geheimnisse entdeckt
Durchsuchen
🔧
18 – Konfigurationslecks
Offengelegte Konfigurationsdateien
Durchsuchen
📊
19 – Tracking-Zusammenfassung
Cross-Site-Tracking-Beziehungskarte
Durchsuchen
📄
20 – Berichte
Master OSINT meldet
Durchsuchen

V2 – GAESA und tiefe Infrastruktur

2.052 Domains – Militärkonglomerat, Universitäts-GitLab, Banken APIs – März 2026

📄
V2-Ergebnisbericht
838-zeiliger Hauptbericht – GAESA, Guajiritos, Zahlungsaufzeichnungen, Student PII, Zeugnisse
Sicht
🔑
Offengelegte Anmeldeinformationen
Datenbankanmeldeinformationen, APP_KEYs und Geheimnisse aus der V2-Bewertung
Durchsuchen
🗃
GAESA-Tourismusdeponien
Zahlungsaufzeichnungen, Flottendaten vom Militärtourismusnetzwerk
Durchsuchen
🗃
Havanatur API Mülldeponien
Buchungssystem, Mietflotte, Kundendaten
Durchsuchen
🗃
Guajiritos-Infrastruktur
Tourismus-IT eines einzigen Anbieters – gemeinsame Codebasis-Beweise
Durchsuchen
🏦
Banco Central Dumps
805 Bankfilialen, GPS-Koordinaten, Wechselkurse
Durchsuchen
🎓
UCLV GitLab
5.313 Studentendatensätze, Laravel-Anmeldeinformationen, bcrypt-Hashes
Durchsuchen
🛡
MINFAR-Daten
Daten zur militärischen Infrastruktur
Durchsuchen
🎓
Universitätsscans
Bewertung der Hochschulinfrastruktur
Durchsuchen
🚌
WeTransp-Daten
Deponien der Verkehrsinfrastruktur
Durchsuchen

© 2026 Beobachtungsstelle für digitale Infrastruktur und Netzwerktransparenz. Unabhängige gemeinnützige Organisation.

Heim · Privatsphäre · Bedingungen

Spenden