← Back to Cyber Tours

Die Regierung ohne Sperre

Bei einer landesweiten passiven OSINT-Prüfung der.gouv.ht-Infrastruktur in Haiti wurden über 50 Regierungsdomänen, 710 MB Beweismittel, eine weithin offene nationale Steueranwendung, 3.233 Bürgerdatensätze und eine gekaperte Domäne der Nationalpolizei kartiert. Nichts wurde erzwungen. Nichts war verschlossen.

Vom ODINT-Ermittlungsteam – 2026

Ansichten:...

.GOUV.HT HAITI 3.233 PII-AUFZEICHNUNGEN OSINT-Untersuchung

Kampagnenstatistiken

Ein einziger passiver Aufklärungsdurchsuchung des haitianischen Regierungswebbestands – Ministerien, Finanzaufsichtsbehörden, Sicherheitsapparat und durch Zertifikatstransparenz entdeckte Subdomains – ergab die folgenden Gesamtergebnisse. Jede Anfrage war ein nicht authentifiziertes HTTPGET. Es wurden keine Anmeldeinformationen verwendet. Es wurden keine Systeme verletzt.

710 MB Beweise gesammelt
50+ .gouv.ht-Domänen untersucht
3,233 PII der Zollkandidaten
6 Kritische Belichtungen
227 Dokumente analysiert
1,365 Bilder EXIF-gescannt
194 Nicht authentifizierte API-Dateien
18 Regierungsidentitäten enthüllt
Vollständiges Rohbeweisarchiv Durchsuchen Sie die vollständige Haiti OSINT-Sammlung – behördenbezogene Erfassungen, Aufklärungsberichte und den Dokumenten-/PII-Korpus – auf dem Datenserver von ODINT.
Archiv durchsuchen

Es begann mit einem Verzeichniseintrag

Es gab keinen Exploit. Es gab eine URL.

curl -s https://civitax.gouv.ht/

civitax.gouv.htist die kommunale Steuerverwaltungsanwendung Haitis – das System, das Aufzeichnungen zur Vermögenszählung (Recensement) und zur Steuerabrechnung (Bordereau) für Bürger verwaltet. Der Server hat keine Login-Wall zurückgegeben. Es wurde eine vollständige-Verzeichnisliste der gesamten Anwendungzurückgegeben: Quelldateien, Berichtsseiten, Statistikmodule, Sicherheitsverwaltungsseiten (Edit_User,GroupRights) und herunterladbare.rar-Archive der Recensement- und Bordereau-Module.

Die Anwendung führtTelerik UIv2013.3.1015.40aus – ein Komponentenstapel, der anfällig fürCVE-2017-9248(kryptografische Schwäche) undCVE-2019-18935(nicht authentifizierte Remotecodeausführung) ist. Der TelerikDialogHandler.aspx-Endpunkt antwortete mit200 OK. Der IISTrace.axd-Handler war vorhanden. Was ein staatliches Steuersystem sein sollte, war in der Praxis ein offener Aktenschrank mit bereits herausgezogener Schublade.

Es war keine Authentifizierung erforderlich. Es wurde kein Exploit eingesetzt. Der Verzeichnisindex war durch Konfiguration – oder durch Fahrlässigkeit – öffentlich. Aus Sicht des Bürgers spielt der Unterschied keine Rolle.

Ziele bewertet

Die Untersuchung durchsuchte den Regierungsbesitz Haitis in Schichten: 13 Ministeriumsdomänen, 15 Finanz- und Aufsichtsbehörden, 9 Militär- und Sicherheitsdomänen, 13 noch nie zuvor bewertete Zertifikatstransparenz-Subdomänen und 20 cPanel-/Autodiscover-Mail-Ziele. Die folgenden Ergebnisse sind diejenigen, die wichtig sind.

civitax.gouv.ht
Nationaler kommunaler Steuerantrag – KRITISCH
Vollständige Verzeichnisliste des gesamten offengelegten Steuerantrags. Telerik UI 2013 mitCVE-2017-9248undCVE-2019-18935(nicht authentifiziertes RCE). Herunterladbare RAR-Archive der Module Recensement (Grundstückszählung) und Bordereau (Steuerabrechnung). Sicherheitsadministratorseiten ohne Authentifizierung erreichbar.
pnh.gouv.ht
Police Nationale d'Haiti – DOMAIN GEFÜHRT
Die offizielle Domäne der Nationalen Polizei dient nicht mehr der Nationalen Polizei. Es bedient eine„Cash Rocket / smocup-cashads“-Betrugsplattform. Das TLS-Zertifikat wird ancashads.smocup.siteausgestellt, nicht anpnh.gouv.ht. Eine nationale Strafverfolgungsdomäne wurde stillschweigend für Betrug umfunktioniert.
agdmail.douane.gouv.ht
Mail der Zollbehörde (AGD) – Microsoft Exchange 2016 ENTHÜLLT
Ein vollständig verfügbarer Microsoft Exchange 2016-Server (Build15.1.2507.61, IIS/10.0), der die E-Mails des haitianischen Zolls verwaltet. Autodiscover erreichbar. Von allen untersuchten Domänen veröffentlicht nur der Zoll eine DMARC-Ablehnungsrichtlinie – der Rest erzwingt nichts.
mde.gouv.ht
Umweltministerium – KRITISCH (abandonware)
Ausführen vonJoomla 3.8.7– veröffentlicht im April 2018 und ungepatcht seit etwa acht Jahren – hinter nginx/1.26.3. Ein so altes, nicht gewartetes CMS in einem Live-Dienst ist eine ständige Einladung.
md.gouv.ht
Ministerium – WordPress-Benutzeraufzählung + Rekrutierungsdaten
Vollständige WordPress-REST-API mit Benutzeraufzählung, 168 Mediendateien, 22 Beiträgen, XML-RPC-fähig mit über 80 Methoden. Anmeldeformulare für das Militär, ein Mitarbeiter-Newsletter-System und Eignungslisten für Kandidaten, die über die REST-API öffentlich zugänglich sind. Das Code-Snippets-Plugin (willkürliche PHP-Ausführung) und die Anwendungs-Passwort-Authentifizierung sind aktiviert.
mpce.gouv.ht
Ministerium für Planung – HOCH
WordPress 6.9.1 + Divi Child Theme auf Apache, antwortet200mit einer aufzählbaren Oberfläche. Eine von sechs Live-Ministeriumsdomänen von dreizehn untersuchten; Die anderen sieben werden im öffentlichen DNS überhaupt nicht aufgelöst.

3.233 Bürger in einer Tabelle

Das schädlichste Artefakt war keine Datenbank. Es handelte sich um eine öffentliche Datei auf der Website des Zolls:DOUANE-GOUV/downloads/Liste-des-candidats-retenus.xlsx– die vollständige Liste der3.233 Kandidaten, die für die Prüfung des haitianischen Zolls (AGD) ausgewählt wurden, wobei jede Zeile vollständige persönliche Daten enthielt.

Code         | Last Name  | First Name   | Sex | Phone            | Department
OE12AG7570   | Abdon      | Gerald       | M   | (+509) 5544-6924 | OUEST
OE12AO1940   | Abel       | Osmane       | M   | (+509) 4019-1719 | OUEST
ND18AC1872   | ABEL       | CAMY         | M   | (+509) 3259-5650 | NORD_EST

Auf demselben Server existiert ein geschwärzter Zwilling (Liste-des-candidats-retenus-no_phone.xlsx). Dies beweist, dass der Herausgeber wusste, dass die Telefonnummern vertraulich waren, und dann die Version, die sie enthielt, trotzdem veröffentlichte.

Im gesamten Dokumentenkorpus analysierte ODINT 227-Dokumente () und EXIF-gescannte-1.365 Bilder (), die von Endpunkten der öffentlichen Verwaltung wiederhergestellt wurden. Der Gesamtertrag: 59 eindeutige E-Mail-Adressen, Tausende von Telefonnummern, NIF-Steuerkennungen, benannte Personen, PDFs zu Budget und Finanzrecht sowie Betriebsdaten des Zolls (SYDONIA-Container-, Hafen- und Lagercodetabellen – einschließlich einer 895-zeiligen internationalen Hafenreferenz). Achtzehn WordPress-Benutzer, Autoren und Kommentatoren wurden in der Zentralbank (brh.ht), der Steuerbehörde (dgi.gouv.ht, wo ein persönliches Gmail-Konto als Autor registriert ist) und anderen Behörden gezählt, jede mit ihrem öffentlichen Gravatar-Hash.

Ein Stand zum Thema Shared Hosting

Der strukturelle Befund ist nicht irgendeine einzelne Schwachstelle – es ist die Architektur. Haitis Regierung setzt auf gemeinsames Commodity-Hosting. ODINT hat Fingerabdrücke von Ministeriums- und Aufsichtsseiten aufBluehost,SiteGroundundHostingergeteilt, von denen mehrere ihren Hosting-Ursprung durch Base64-codierte Host-Header preisgegeben haben. WordPress 6.9.1 wiederholt sich über unabhängige Agenturen hinweg, was auf einen gemeinsamen Betreuer oder eine gemeinsame Vorlage schließen lässt. Von den Finanz- und Aufsichtsressourcen waren 10 von 15 Domains aktiv (fünf WordPress, zwei Laravel, ein October CMS, ein IIS/ASP.NET mit detaillierter Offenlegung des Fehlerpfads). Von neun Militär- und Sicherheitsdomänen existieren sieben nicht im öffentlichen DNS – der digitale Sicherheitsbereich des haitianischen Staates fehlt größtenteils einfach.

Wenn eine nationale Polizeidomäne stillschweigend auf eine Betrugsplattform umgeleitet werden kann und es niemandem auffällt, liegt das Problem nicht an einem fehlenden Patch. Das Problem ist, dass niemand die Schlüssel in der Hand hat.

Rohdaten und Downloads

Alle gesammelten Beweise wurden archiviert und stehen Forschern, Journalisten und Organisationen der Zivilgesellschaft über den Datenserver von ODINT zur Verfügung. Das veröffentlichte Archiv enthält die Erfassungen pro Agentur und die analytischen Aufklärungsberichte; Die für die Erhebung verwendeten Aufzählungstools werden absichtlich zurückgehalten.

Haiti – Vollständige Sammlung — Vollständiges OSINT-Archiv, alle Agenturen und Berichte
Durchsuchen
Aufklärungsbericht — Passive Aufklärung der Kern-Webinfrastruktur des Ministeriums
Sicht
Ergebnisse des Ministeriums-Sweeps — 13 Ministeriumsdomänen untersucht, 6 live
Sicht
Finanz- und Aufsichtsprüfung – 15 Domains für Finanz-/Aufsichtsbehörden
Sicht
Militär- und Sicherheitsdurchsuchung — 9 Militär-/Sicherheitsbereiche inkl. pnh.gouv.ht-Hijack
Sicht
Hochwertige Subdomain-Aufklärung — Zertifikatstransparenzziele inkl. civitax.gouv.ht
Sicht
FAES & Civitax-Sonde – Bericht über hochwertige Zielsonden
Sicht
cPanel & E-Mail-Aufklärung — Mail-Infrastruktur inkl. Zollbörse 2016
Sicht
Tech-Stack-Scan – CMS-, Server- und Framework-Fingerabdrücke
Sicht
Gravatar-Reverse-Analyse – Identitätsauflösung aus öffentlichen Gravatar-Hashes
Sicht
PII-Bericht dokumentieren — 227 Dokumente analysiert, kombinierte PII-Ergebnisse
Sicht
PII-Masterbericht – Aggregierte PII-Extraktion von öffentlichen API-Endpunkten
Sicht
DGI – Steuerdirektion — Direction Générale des Impots nimmt gefangen
Durchsuchen
Douane – Zoll (AGD) — Zollbeschlagnahmen inkl. Kandidaten-Dokumentensatz
Durchsuchen
civitax – Gemeindesteuer-App – Erfassungen des Recensement- und Bordereau-Moduls
Durchsuchen
BRH – Zentralbank — Eroberung durch die Banque de la République d'Haiti
Durchsuchen
MD – Ministerium – WordPress REST API + Medienerfassung
Durchsuchen
Dokumentieren Sie E-Mails und Telefone — Extrahierte Kontaktkennungen aus dem Korpus
Sicht
Erfassungen durch Ministerium und Behörde – DINEPA, MSPP, MENFP, MICT, MPCE, ONI, IGF, MAE, Primature
Durchsuchen
EXIF-Bericht — Metadaten von 1.365 gescannten Bildern
Sicht
Web.config-Scan – ASP.NET-Konfigurations-Exposition-Probe
Durchsuchen
Yoast-Sitemap-Index — Erfasste Sitemap-Struktur
Sicht

OSINT-Haftungsausschluss

Dieser Bericht basiert vollständig auf Open-Source-Intelligence (OSINT). Auf vertrauliche Informationen wurde nicht zugegriffen. Es wurden keine vertraulichen Quellen verwendet. Es wurden keine Systeme verletzt. Es wurden keine Authentifizierungsmechanismen umgangen. Alle in dieser Untersuchung genannten Daten waren zum Zeitpunkt der Erhebung öffentlich verfügbar und wurden ohne Zugriffskontrolle bereitgestellt.

Jeder hier beschriebene Endpunkt reagierte auf nicht authentifizierte HTTPGET-Anfragen. Es waren keine Passwörter, Token oder Anmeldeinformationen jeglicher Art erforderlich oder verwendet. Die zur Sammlung dieser Beweise verwendeten Zählwerkzeuge wurden dem öffentlichen Archiv vorenthalten. nur das erfasste Material und die Analyseberichte werden veröffentlicht.

Zusammengestellt 2026 – Klassifizierung: OSINT – Open Source
Beobachtungsstelle für digitale Infrastruktur und Netzwerktransparenz (ODINT)

© 2026 Observatory for Digital Infrastructure and Network Transparency.
501(c)(3) Public Charity · EIN 41-4306936 · Donations tax-deductible to the fullest extent allowed by law.

Home · Privacy · Terms

Donate