Kampagnenstatistiken
Zwei gleichzeitige OSINT-Vorgänge – Crystal Vault (bundesstaatliche API-Aufzählung) und a .git-Belichtungskampagne – gegen mexikanische Regierungs-, Hochschul-, Medien- und staatliche Infrastruktur ergaben die folgenden aggregierten Ergebnisse.
64 GB
Bundesdaten gespiegelt
17
Live-Anmeldedatensätze
186M+
Geschätzte Rekorde
177
Bundesbehörden entlarvt
520K+
Kritische PII Datensätze
37+
Entwickleridentitäten
7
Git-Repos entdeckt
4,968
Gravatar Hashes
Vollständiger interaktiver Bewertungsbericht
Entdecken Sie die vollständige Infrastrukturbewertung der mexikanischen Regierung mit interaktiven Diagrammen und detaillierten Aufschlüsselungen.
Bericht anzeigen
Ein Curl-Befehl
Es begann mit einer einzigen Zeile in einem Terminal.
curl -s https://repodatos.atdt.gob.mx/api_update/
Die Antwort war kein Fehler. Es war keine Anmeldeseite. Es war ein Verzeichnisliste von 177 Bundesbehörden – alle Datensätze, die von allen Ministerien, Regulierungsbehörden und öffentlichen Einrichtungen veröffentlicht werden, die mit Mexikos nationaler Open-Data-Plattform verbunden sind.
ATDT - Die Agentur für digitale Transformation und Telekommunikation (Agentur für digitale Transformation und Telekommunikation) – ist der zentralisierte Technologiezweig der mexikanischen Regierung. Es verwaltet das Datenarchiv des Bundes unter repodatos.atdt.gob.mx, eine Plattform zur Aggregation und Verteilung von Datensätzen aus der gesamten Exekutive. Der API war live. Die Endpunkte wurden indiziert. Es gab keine Authentifizierung, keine Ratenbegrenzung, keine Zugangskontrollen jeglicher Art.
Jeder Agenturordner enthielt strukturierte Metadaten, direkte Links zu CSV-Dateien und in vielen Fällen vollständige API Karten, die jeden verfügbaren Endpunkt und Parameter beschreiben. Was eine kontrollierte Datenverteilungsplattform sein sollte, war in der Praxis ein offener Aktenschrank mit entferntem Schloss.
Es waren keine Anmeldeinformationen erforderlich. Es wurden keine Exploits eingesetzt. Es wurden keine Nutzungsbedingungen umgangen. Das API war absichtlich – oder fahrlässig – öffentlich. Das Ergebnis war das gleiche.
Ziele gefährdet
Sieben Ziele in den Bereichen Bundesregierung, Landesregierung, Wissenschaft, Wahlen und Medien wurden über zwei Vektoren kompromittiert: nicht authentifizierter API-Zugriff und Offenlegung .git/ Verzeichnisse auf Produktionsservern.
repodatos.atdt.gob.mx
Federal API – Agencia de Transformación Digital y Telecomunicaciones
Vektor: Keine Authentifizierung erforderlich
Daten: 64 GB, 177 Agenturen
Aufzeichnungen: 186 M+ geschätzt
Status: NOCH LEBEN
uaem.mx
Universität – Universidad Autónoma del Estado de Morelos
Vektor: .git-Belichtung
Anmeldeinformationen: 2 (MySQL + SMTP)
Daten: 960 MB, 11.605 Dateien
ieeq.mx
Staatswahl – Instituto Electoral del Estado de Querétaro
Vektor: .git-Belichtung
Anmeldeinformationen: 4 (PostgreSQL + 2 MySQL)
Daten: Git-Metadaten + Anmeldeinformationen
ss.puebla.gob.mx
Staatliche Gesundheit – Gesundheitsministerium des Staates Puebla
Vektor: .git-Belichtung
Anmeldeinformationen: 1 (MySQL) + Joomla-Geheimnis
Daten: WordPress/Joomla-Konfiguration
elsiglodetorreon.com.mx
Zeitung – El Siglo de Torreón
Vektor: .git-Belichtung
Anmeldeinformationen: 8 MySQL + SMTP + Token
Daten: Vollständige Anwendungsquelle
fiscalia.durango.gob.mx
Staatsanwaltschaft – Staatsanwaltschaft Durango
Vektor: .git-Belichtung
Anmeldeinformationen: 0 (wp-config gitignored)
Daten: Git-Metadaten, interne IP
mvs.com
Media Corp – Grupo MVS
Vektor: .git-Belichtung
Anmeldeinformationen: 0
Daten: 13 Akten, Unternehmensstrukturplan
Kritische PII Datensätze
Der Bund API bei repodatos.atdt.gob.mx stellte Datensätze bereit, die persönlich identifizierbare Informationen für schätzungsweise mehr als 186 Millionen Datensätze enthielten. Die folgenden Datensätze stellen die empfindlichsten Expositionen dar, geordnet nach Schweregrad.
Aufzeichnungen: ~60,000,000
Größe: 12,3 GB
Vollständige Geburtsregisterdaten für die mexikanische Bevölkerung. Enthält persönliche Identifikatoren aus Jahrzehnten der Zivilregistrierung. Der größte PII Datensatz in der Sammlung.
CURP: [ANONYMISIERT] Name: [ANONYMISIERT] Geburtsdatum: 15.03.1985 Bundesstaat: Jalisco
CURP: [ANONYMISIERT] Name: [ANONYMISIERT] Geburtsdatum: 22.08.1992 Bundesstaat: CDMX
CURP: [ANONYMISIERT] Name: [ANONYMISIERT] Geburtsdatum: 07.11.2001 Bundesstaat: Nuevo Leon
Aufzeichnungen: ~25,000,000
Größe: 6,1 GB
Vollständige Sterberegisterdaten. Ermöglicht in Kombination mit Geburtsdaten eine vollständige Kartierung der Identität verstorbener mexikanischer Staatsbürger im Lebenszyklus – ein hochwertiger Datensatz für Identitätsbetrug.
CURP: [ZENSIERT] Name: [ZENSIERT] DOD: 11.06.2019 Ursache: [ZENSIERT]
CURP: [ZENSIERT] Name: [ZENSIERT] DOD: 23.01.2021 Ursache: [ZENSIERT]
CURP: [ZENSIERT] Name: [ZENSIERT] DOD: 05.09.2022 Ursache: [ZENSIERT]
Aufzeichnungen: ~6,000,000
Größe: 1,7 GB
CURP (nationaler Identitätsschlüssel), RFC (Steuer-ID), vollständige Namen und Telefonnummern für Mitarbeiter und Kontakte von Bildungszentren in ganz Mexiko.
CURP: [ANONYMISIERT] RFC: [ANONYMISIERT] Name: [ANONYMISIERT] Telefon: 33-XXXX-XXXX
CURP: [ANONYMISIERT] RFC: [ANONYMISIERT] Name: [ANONYMISIERT] Telefon: 81-XXXX-XXXX
CURP: [ANONYMISIERT] RFC: [ANONYMISIERT] Name: [ANONYMISIERT] Telefon: 55-XXXX-XXXX
Aufzeichnungen: 464,153
Größe: 69 MB
RFC (Steuer-ID) + vollständige Namen + physische Adressen + Telefonnummern + E-Mail-Adressen. Die Sensibilität des RFC entspricht einer US-Sozialversicherungsnummer. Vollständige Offenlegung der Identität aller aufgeführten Personen.
RFC: XXXX800101XX1 Name: [ZENSIERT] Telefon: 55-XXXX-XXXX
RFC: XXXX750315XX2 Name: [ZENSIERT] E-Mail: [ZENSIERT]@gmail.com
RFC: XXXX910422XX3 Name: [ZENSIERT] Adresse: [ZENSIERT], CDMX
Aufzeichnungen: ~100,000
Größe: 22 MB
Register der Personen, die eine antiretrovirale Behandlung erhalten. Geschützte Gesundheitsinformationen der sensibelsten Kategorie – deren Exposition birgt das Risiko von Diskriminierung, Gewalt und sozialem Schaden.
Patienten-ID: [ANONYMISIERT] Behandlung: Antiretroviraler Status: Aktiv
Patienten-ID: [ANONYMISIERT] Behandlung: Antiretroviraler Status: Aktiv
Patienten-ID: [ANONYMISIERT] Behandlung: Antiretroviraler Status: Inaktiv
Aufzeichnungen: ~2,000,000
Größe: 424 MB
Nationale Daten zur Kriminalitätshäufigkeit, aufgeschlüsselt nach Kommunen. Detaillierte Kriminalitätsstatistiken für alle mexikanischen Bundesstaaten und Gemeinden aus dem nationalen öffentlichen Sicherheitssystem.
Gemeinde: [ANONYMISIERT] Typ: Homicidio Doloso Jahr: 2023 Anzahl: 47
Gemeinde: [ANONYMISIERT] Typ: Robo a Vehiculo Jahr: 2023 Anzahl: 312
Gemeinde: [ANONYMISIERT] Typ: Secuestro Jahr: 2022 Anzahl: 8
Aufzeichnungen: ~50,000+
Bundesopferregister, geführt von der Exekutivkommission für Opferhilfe (CEAV). Enthält Aufzeichnungen über Personen, die auf Bundesebene als Opfer von Straftaten registriert sind.
Opfer-ID: [ANONYMISIERT] Verbrechen: Desaparicion Forzada Bundesstaat: Tamaulipas
Opfer-ID: [ANONYMISIERT] Verbrechen: Homicidio Bundesstaat: Guerrero
Opfer-ID: [ANONYMISIERT] Verbrechen: Erpressung Bundesstaat: Jalisco
Aufzeichnungen: ~700,000
Größe: 175 MB
Von mexikanischen Einwanderungsbehörden registrierte irreguläre Migrationsereignisse. Die Exposition gefährdet gefährdete Migrantengruppen und offenbart Durchsetzungsmuster.
Ereignis-ID: [ANONYMISIERT] Nationalität: Honduras Route: [ANONYMISIERT] Jahr: 2023
Ereignis-ID: [ANONYMISIERT] Nationalität: Guatemala Route: [ANONYMISIERT] Jahr: 2022
Ereignis-ID: [ANONYMISIERT] Nationalität: Venezuela Route: [ANONYMISIERT] Jahr: 2023
Aufzeichnungen: ~1,300,000
Größe: 257 MB
Aufzeichnungen zur Einwanderungsbearbeitung, einschließlich Visumanträgen, Genehmigungen und Verwaltungsverfahren in allen mexikanischen Einwanderungsbehörden.
Tramite: [ANONYMISIERT] Typ: Visa Temporal Office: CDMX Status: Aprobado
Tramite: [ANONYMISIERT] Typ: Residencia Permanente Büro: Cancun Status: En Proceso
Tramite: [ANONYMISIERT] Typ: Permiso Trabajo Büro: Tijuana Status: Aprobado
Aufzeichnungen: ~4,500,000
Größe: 907 MB
Bundesbeschaffungsdaten, einschließlich Lieferantennamen, Vertragswerte in Höhe von insgesamt ca 130 Milliarden US-Dollarund staatliche Kaufmuster in allen Bundesbehörden.
Vertrag: [ANONYMISIERT] Verkäufer: [ANONYMISIERT] S.A. de C.V. Wert: 2.450.000 MXN
Vertrag: [ANONYMISIERT] Verkäufer: [ANONYMISIERT] S.A. de C.V. Wert: 18.700.000 MXN
Vertrag: [ANONYMISIERT] Verkäufer: [ANONYMISIERT] S.A. de C.V. Wert: 890.000 MXN
Aufzeichnungen: 809
Vollständige Namen, Dienststellen und Sanktionsdetails von Bundesbeamten, bei denen offiziell festgestellt wurde, dass sie korrupt sind oder gegen die Vorschriften des öffentlichen Dienstes verstoßen. Beinhaltet Emilio Lozoya Austin (PEMEX/Odebrecht).
Name: [ANONYMISIERT] Agentur: PEMEX Sanktion: Inhabilitacion Dauer: 10 Jahre
Name: [ANONYMISIERT] Agentur: CFE Sanktion: Destitucion Dauer: Permanent
Name: [ANONYMISIERT] Agentur: IMSS Sanktion: Suspendierung Dauer: 3 Jahre
Aufzeichnungen: 1,396
Vollständiges Register der Bundesnotare, einschließlich vollständiger Namen, Lizenznummern und vollständiger Büroadressen. Notare sind wertvolle Ziele der organisierten Kriminalität, die den Erwerb von Immobilien legitimieren oder Unternehmensdokumente fälschen wollen.
Lizenz: [ANONYMISIERT] Name: Lic. [ANONYMISIERT] Büro: Av. [ZENSIERT], CDMX
Lizenz: [ANONYMISIERT] Name: Lic. [ANONYMISIERT] Büro: Blvd. [ANONYMISIERT], Monterrey
Lizenz: [ANONYMISIERT] Name: Lic. [ANONYMISIERT] Büro: Calle [ANONYMISIERT], Guadalajara
SAT – 464.153 Steuerzahler
Der Servicio de Administración Tributaria (SAT) – Mexikos Steuerbehörde – war die größte Einzelquelle für personenbezogene Daten in der Sammlung. Insgesamt fünf Datensätze 69 MB Strukturierter Daten haben die Steuerunterlagen von fast einer halben Million Einzelpersonen und Organisationen offengelegt.
SAT_1_Donatarias
10.798 Datensätze
Autorisierte Wohltätigkeitsorganisationen mit RFC + offiziellem Namen + Telefon + E-Mail + physischer Adresse + gesetzlichem Vertreter. Vollständiges Register aller Unternehmen in Mexiko, die zum Empfang steuerlich absetzbarer Spenden berechtigt sind.
SAT_3_Sentencias
311 Datensätze
Steuerverurteilungen – Personen mit RFC, die wegen Steuerverbrechen rechtskräftig verurteilt wurden.
SAT_4_Nolocalizados
39.453 Datensätze
Nicht lokalisierte Steuerzahler – natürliche und juristische Personen mit RFC+-Namen, die SAT zu Durchsetzungszwecken nicht physisch ausfindig machen konnte.
SAT_5_Firmen
177.807 Datensätze
Endgültige Steuerschulden – natürliche und juristische Personen mit RFC + vollständigem Namen, die bestätigte, unanfechtbare Steuerschulden tragen.
SAT_7_Cancelados
120.276 Datensätze
Steuerstatus „Storniert“ – RFC + Namen von Steuerzahlern, deren Steuerregistrierung von SAT offiziell widerrufen wurde.
464.153 Steuerzahler. Namen, Steuernummern, Adressen, Telefonnummern. Wird als flache CSV-Datei von einem nicht authentifizierten API bereitgestellt. Ein Curl-Befehl pro Datei.
Offenlegung der Gehaltsabrechnung der UAEM
Die .git-Exposition bei uaem.mx (Universidad Autónoma del Estado de Morelos) hat 11.605 Dateien mit insgesamt 960 MB Produktionsquellcode wiederhergestellt, einschließlich Studentendatenbanken, Mitarbeiterverzeichnissen usw vollständige Lohn- und Gehaltsabrechnungsdaten. Aus den Gehaltsabrechnungsakten geht eine zweiwöchentliche Vergütung von insgesamt über 60 Millionen MXN pro Periode hervor (Daten von 2019).
Vertrauen / Management
18 Mio. MXN
Gewerkschaftliche Basis
8,2 Mio. MXN
Schließlich gewerkschaftlich organisiert
1,5 Mio. MXN
Rentner/Rentner
900.000 MXN
Gesamt pro zweiwöchentlichem Zeitraum
>60 Mio. MXN
Weiteres von UAEM wiederhergestelltes Material umfasst: Studentendatenbank PII (SOLICITUD_CONSTANCIAS Tabelle mit vollständigen Namen, E-Mail-Adressen, Studentenausweisen, Noten und Hauptfächern), Personalverzeichnisse, IT-Telefonverzeichnis, Zahlungsabwicklungssystem, elektronisches Abstimmungssystem, Berufslizenzsystem, System zur Abschlussgenerierung und vollständige Apache-Konfiguration mit Routing-Regeln. Der alleinige Entwickler – Rafael Fragoso ([email protected], GitHub: norgoth) – hatte Root-Zugriff und wurde direkt in der Produktion bereitgestellt.
SFP – 809 sanktionierte Beamte
Der Secretaría de la Función Pública (SFP) – Mexikos Ministerium für öffentliche Verwaltung – führt das offizielle Register der sanktionierten Regierungsbeamten. Der über ATDT verfügbar gemachte Datensatz enthielt 809 Datensätze von Bundesangestellten, die offiziell wegen Korruption, Fehlverhalten oder Verwaltungsverstößen bestraft wurden.
Jede Aufzeichnung enthielt den vollständigen Namen des Beamten, die Dienststelle, der er angehörte, die Art der verhängten Sanktion und die Dauer seines Ausschlusses aus dem öffentlichen Dienst. Die Sanktionen reichten von vorübergehenden Suspendierungen bis hin zu dauerhaften Verboten von der Beschäftigung im öffentlichen Dienst.
Unter den Namen: Emilio Lozoya Austin, ehemaliger CEO von PEMEX (Petróleos Mexicanos), Mexikos staatliche Ölgesellschaft. Lozoya stand im Mittelpunkt Odebrecht-Skandal – eine kontinentale Bestechungsaktion, bei der der brasilianische Baukonzern bezahlte Bestechungsgelder in Höhe von 10,5 Millionen US-Dollar um Verträge mit PEMEX abzuschließen. Lozoya wurde 2020 in Spanien festgenommen, an Mexiko ausgeliefert und wurde zu einem kooperativen Zeugen, dessen Aussage ehemalige Präsidenten und hochrangige Beamte betraf.
Bei der SFP-Sanktionsliste handelt es sich im Wesentlichen um ein öffentliches Register aller Bundesbeamten, die von der mexikanischen Regierung offiziell als korrupt eingestuft wurden. Dass es ohne Authentifizierung von einem offenen API bereitgestellt wurde, stimmt mit dem Muster auf der gesamten ATDT-Plattform überein: Daten, die echte Konsequenzen für echte Menschen haben, werden behandelt, als wäre es ein Wetter-Feed.
INDAABIN – 1.396 Bundesnotare
Der Instituto de Administración y Avalúos de Bienes Nacionales (INDAABIN) – das für die nationale Immobilienbewertung und -verwaltung zuständige Bundesinstitut – steuerte einen der ungewöhnlicheren Datensätze in der Sammlung bei: den vollständiges Verzeichnis von 1.396 Bundesnotaren.
Jeder Eintrag enthielt den vollständigen Firmennamen, die Lizenznummer, die Büroadresse und den Gerichtsstand des Notars. Bundesnotare in Mexiko sind wichtige Akteure bei Immobilientransaktionen, Unternehmensgründungen und rechtlichen Zertifizierungen. Ihre Identitäten und Standorte werden in diesem Detaillierungsgrad nicht öffentlich bekannt gegeben – oder das sollte auch nicht der Fall sein.
Durch die Offenlegung eines vollständigen Notarregisters entsteht ein spezifisches Risikoprofil. Notare sind das Ziel von Nötigung durch organisierte Kriminalitätsgruppen, die den Erwerb von Immobilien legitimieren, Unternehmensdokumente fälschen oder Geld durch Immobilien waschen wollen. Eine Massenliste aller Bundesnotare, ihrer Büroadressen und Lizenznummern stellt nicht nur eine administrative Unannehmlichkeit dar – sie ist auch ein Leitfaden für alle, die das mexikanische Notarsystem gefährden wollen.
Git-Exposure-Kampagne
Eine parallele .git-Exposure-Kampagne wurde wiederhergestellt 17 Live-Ausweissätze aus 6 mexikanischen Domänen, freigelegt Über 37 Entwickleridentitäten, und erholte sich fast 1 GB Produktionsquellcode von einer großen öffentlichen Universität. Sieben Git-Repositorys wurden in GitHub, GitLab, Bitbucket und internen Gitea-Instanzen entdeckt.
Die Berechtigungsnachweise umfassen ein staatliches Wahlinstitut (Wahlinfrastruktur), ein staatliches Gesundheitsamt, eine große Universität mit Studenten PII und eine große Zeitung. Es wurden drei externe IPs mit anschließbaren Datenbankdiensten identifiziert: 104.45.237.221 (Azure, IEEQ), 187.191.76.50 (IEEQ-Kommunikation) und 52.117.172.166 (IBM Cloud, El Siglo). Alle Anmeldeinformationen wurden im festgeschriebenen Quellcode gefunden, was auf ein systematisches Versäumnis bei der Verwendung von Umgebungsvariablen oder der Geheimhaltungsverwaltung in mexikanischen Institutionen hinweist.
Die Staatsanwaltschaft des Staates Durango (fiscalia.durango.gob.mx) führt eine einzelne WordPress-Installationsbereitstellung aus 24 Websites staatlicher Behörden einschließlich Fiscalia, DIF, Bildung, Gesundheit, öffentliche Sicherheit, Katastrophenschutz und SIPINNA (Kinderfürsorge). Es läuft mit RevSlider CVE-2022-0441 (CVSS 9.8, Authentifizierungsumgehung) und CVE-2014-9734 (Dateieinbindung). Es sind keine Sicherheits-Plugins installiert. XML-RPC ist aktiviert.
Rohdaten und Downloads
Alle gesammelten Daten wurden archiviert und stehen Forschern, Journalisten und Organisationen der Zivilgesellschaft über den Datenserver von ODINT zur Verfügung.
Mexiko V1 – Vollständige Sammlung – 118 Agenturen, 1.675 CSVs, API Karten, Tech-Stacks, Forschung
Durchsuchen
Mexiko V1 / API Dumps – Rohe API-Antworten von 162 Bundesbehörden
Durchsuchen
Mexiko V1 / Tech Stacks — 313 Technologie-Stack-Analysen
Durchsuchen
Mexiko V1 / Forschung — Recherche- und Analysedateien
Durchsuchen
Interaktiver Bewertungsbericht — Vollständiger interaktiver HTML-Bericht mit Diagrammen und Aufschlüsselungen
Sicht
Anmeldeinformationen – Offengelegte Anmeldeinformationen und Authentifizierungstoken
Durchsuchen
Hashes — Wiederhergestellte Passwort-Hashes und Hash-Analyse
Durchsuchen
Tresor – Fiscalia Durango – Daten der Staatsanwaltschaft von Durango
Durchsuchen
Tresor – ATDT RepoDatos – Dumps des Bundesdaten-Repositorys
Durchsuchen
Gewölbe – SS Puebla – Daten des Gesundheitsministeriums des Bundesstaates Puebla
Durchsuchen
Tresor – IEEQ – Daten des Queretaro State Electoral Institute
Durchsuchen
Tresor – UAEM — Universidad Autónoma del Estado de México
Durchsuchen
Tresor – ITSM — Instituto Tecnológico Superior de Misantla
Durchsuchen
Tresor – El Siglo de Torreón — Daten mexikanischer Nachrichtenagenturen + API
Durchsuchen
Tresor – MVS / Radio Centro – Daten des mexikanischen Medienkonglomerats
Durchsuchen
Tresor – OSINT Berichte — Zusammengestellte Geheimdienstberichte von Tresorzielen
Durchsuchen
Tresor – Ziele – Zielaufzählung und Scandaten
Durchsuchen
Tresor – Protokolle – Erfasste Anwendungs- und Serverprotokolle
Durchsuchen
Sicherheitsbefunde – Offenlegung von Sicherheitslücken und Fehlkonfigurationen
Sicht
Glossar HTML – Erfasste Glossarseiten der Regierung
Durchsuchen
README — Vollständige Untersuchungsdokumentation
Sicht
OSINT Haftungsausschluss
Dieser Bericht basiert vollständig auf Open-Source-Informationen (OSINT). Auf vertrauliche Informationen wurde nicht zugegriffen. Es wurden keine vertraulichen Quellen verwendet. Es wurden keine Systeme verletzt. Es wurden keine Authentifizierungsmechanismen umgangen. Alle in dieser Untersuchung genannten Daten waren zum Zeitpunkt der Erhebung öffentlich verfügbar und wurden ohne Zugriffskontrolle bereitgestellt.
Die ATDT-Plattform unter repodatos.atdt.gob.mx stellte alle Daten über nicht authentifizierte HTTP Endpunkte bereit. Für den Zugriff auf die in diesem Bericht beschriebenen Datensätze waren keine Passwörter, Token oder Anmeldeinformationen jeglicher Art erforderlich oder wurden verwendet.
Zusammengestellt 2026 – Klassifizierung: OSINT – Open Source
Beobachtungsstelle für digitale Infrastruktur und Netzwerktransparenz (ODINT)