Betriebsstatistik
Am 1. März 2026 führte ODINT während aktiver Feindseligkeiten zwischen Pakistan und Afghanistan (Operation Ghazab Lil Haq) eine dreistündige passive Aufklärungsdurchsuchung der digitalen Infrastruktur der pakistanischen Regierung und der akademischen Welt durch. Alle Daten wurden über Tor mit vollständig Open-Source-Methoden extrahiert – keine Exploits, keine Umgehung der Authentifizierung.
Der Kriegskontext
Pakistans digitale Infrastruktur brach am 1. März 2026 in zwei Teile. Die Kernregierung – das Büro des Präsidenten, das Parlament, die Nuklearkommission (PAEC), die Staatsbank, das Federal Board of Revenue, die Staatsbahn und die öffentlichen Dienste der NADRA – verstummten völlig. Ob durch absichtliche defensive Abschaltung oder echten Infrastrukturzusammenbruch unter der Last der Operation Ghazab Lil Haq, mehr als 35 große .gov.pk-Domänen reagierten nicht.
Was stehen blieb, erzählt seine eigene Geschichte. Die Institutionen, die Pakistan geschaffen hat nicht Protect – seine Universitäten, eine Provinzregierung, ein offenes Datenportal, zwei Bundesverwaltungsgremien – blieben vollständig ungeschützt, ohne zusätzliche WAF-Bereitstellung, ohne IP-Beschränkung und in einigen Fällen mit Webservern, die sieben Jahre veraltet waren.
Pakistan hat dem Schutz seiner Nuklear- und Finanzinfrastruktur Priorität eingeräumt. Es vergaß völlig seine Universitäten, seine ärmste Provinz und seine offene Datenplattform.
Zusammenbruch der Infrastruktur: Was passiert ist
Von mehr als 57 pakistanischen Domains, die während aktiver Feindseligkeiten gescannt wurden, 65 % waren völlig unerreichbar17 % standen hinter WAFs, die Tor blockierten, und nur 21 % blieben zugänglich und funktionsfähig.
Völlig unerreichbar (>35 Domains)
| Domain | Organisation | Status |
|---|---|---|
| pakistan.gov.pk | Portal der Bundesregierung | RUNTER |
| pmo.gov.pk | Büro des Premierministers | RUNTER |
| senate.gov.pk / na.gov.pk | Parlament (beide Kammern) | RUNTER |
| paec.gov.pk | Pakistanische Atomenergiekommission | RUNTER |
| nescom.gov.pk | Nuklear- und Raketenentwicklung | RUNTER |
| sbp.org.pk | Staatsbank von Pakistan | RUNTER |
| fbr.gov.pk / iris.fbr.gov.pk | Bundesfinanzamt / IRIS 2.0 | RUNTER |
| mail.ntc.net.pk | E-Mail der Bundesregierung (Zimbra) | RUNTER |
| punjab.gov.pk / sindh.gov.pk | Provinzen Punjab und Sindh | RUNTER |
| nadra.gov.pk (E-Dienste) | Nationale Identitätsdatenbank (öffentlich) | RUNTER |
Hinter WAF – Tor blockiert (10 Domains)
| Domain | WAF | Status |
|---|---|---|
| ispr.gov.pk | Wolkenflare | 403 GESPERRT |
| paknavy.gov.pk | Wolkenflare | 403 GESPERRT |
| nust.edu.pk | Wolkenflare | 403 GESPERRT |
| comsats.edu.pk | Wolkenflare | 403 GESPERRT |
| gcu.edu.pk | Sucuri/Cloudproxy | 403 GESPERRT |
Vollständiger Infrastrukturstatus während des Krieges mit allen über 57 Domänen: Status der Kriegsinfrastruktur
Live-Ziele: Was offen blieb
Zwölf Domänen blieben zugänglich und wurden einer detaillierten Aufzählung unterzogen. Die offengelegten Institutionen offenbaren ein Muster der Vernachlässigung, das durch keine Verteidigungshaltung während des Krieges korrigiert werden konnte.
WordPress REST API: Drei Regierungseinrichtungen vollständig freigelegt
Drei pakistanische Organisationen legen ihre vollständigen WordPress REST API ohne Authentifizierung offen: die Quaid-i-Azam-Universität, die Regierung von Belutschistan und die Wissenschafts- und IT-Abteilung von Belutschistan. Kombinierte Extraktion: 13,4 MB von strukturierten staatlichen und akademischen Daten.
admin_bal) verwaltet beides balochistan.gov.pk Und sit.balochistan.gov.pk – bestätigt durch einen identischen Gravatar-Hash für beide Installationen. Die Kompromittierung eines E-Mail-Kontos betrifft beide Websites. wp-login.php ist direkt auf der SIT-Domäne zugänglich.
Personalinformationen: Über 340 namentlich genannte Personen
Über alle Zielgruppen hinweg wurden mehr als 340 Personen mit unterschiedlichem Grad an persönlichen Kontaktinformationen identifiziert. Alle Daten wurden ohne Authentifizierung aus öffentlich zugänglichen Quellen extrahiert.
Divisionskommissare Belutschistans
Acht hochrangige Provinzverwalter wurden anhand ihres Namens und ihrer Abteilung anhand des WordPress-Seiteninhalts identifiziert – darunter der Kommissar der Makran-Division (Dawood Khan Khilji), die an den Iran grenzt und den Hafen Gwadar, das Herzstück des CPEC, beherbergt.
QAU-Personalverzeichnisse – Beispiel
Im Folgenden finden Sie eine Teilprobe von Daten, die aus öffentlich zugänglichen QAU-Mitarbeiterseiten extrahiert wurden. Für über 65 Personen wurden direkte Telefondurchwahlen, institutionelle und persönliche E-Mail-Adressen sowie Organisationspositionen wiederhergestellt.
Offenes Datenportal: 1.471 Regierungsdatensätze
Pakistans offenes Datenportal (opendata.com.pk) läuft CKAN 2.8.3 auf einem Server aus dem Oktober 2017. Trotz der Ankündigung /api/ tabu in robots.txt, das gesamte API ist ohne Authentifizierung frei zugänglich.
Aufgedeckte Bundesverwaltungsgremien
Zwei Websites der Bundesregierung stellen administrative Login-Panels direkt im Internet zur Verfügung, ohne WAF, ohne IP-Einschränkung und ohne CAPTCHA – während eines aktiven militärischen Konflikts.
/trace.axd gibt eine 403 (keine 404) zurück und bestätigt, dass ASP.NET die Anforderungsverfolgung auf dem Server aktiviert ist. Betriebsmanagement auf HQ-Ebene uneingeschränkt zugänglich.
Offenlegung der Serverkonfiguration: LUMS phpinfo.php
Die Lahore University of Management Sciences enthüllt a phpinfo.php Seite (96 KB), die den kompletten Server-Stack enthüllt: Hostname, Kernel, Betriebssystemversion, PHP-Erweiterungen, Datenbankkonfiguration und Dateisystempfade – ein vollständiger Fingerabdruck für gezielte Ausnutzung.
lumswebsite-websrv1, Kernel 5.4.17-2136.350.3.2.el8uek.x86_64 (Oracle UEK), RHEL 8.10, Apache 2.4.66, PHP 8.1.34. PHP SSH2- und LDAP-Erweiterungen bestätigen, dass der Server eine Verbindung zu anderer LUMS-Infrastruktur herstellt – potenziellen Pivot-Pfaden.
Belutschistan: Provinz im Fadenkreuz
Belutschistan ist Pakistans flächenmäßig größte Provinz (44 % des pakistanischen Territoriums), sein strategischer Korridor für CPEC und der Standort des Hafens Gwadar – Chinas Zugangspunkt zum Indischen Ozean. Während des Pakistan-Afghanistan-Krieges wurde es zu einem kritischen Frontgebiet. Es war auch die einzige noch lebende Provinzregierung.
Die Provinz WordPress API enthüllte die Ernennungen von Divisionskommissaren in allen acht Divisionen Belutschistans, vollständige Haushaltsdokumente von 2020 bis 2026, Gesetze aus mehr als 14 Abteilungen und die Personalliste für die Überwachungsinfrastruktur von Gwadar. Die Dual-TLD-Situation (.gov.pk Und .gob.pk) birgt ein zusätzliches Risiko von Identitätsdiebstahl.
Digitale Infrastruktur der Regierung
Die digitale Infrastruktur der pakistanischen Regierung ist auf eine kleine Anzahl kritischer Systeme konzentriert. Während des Krieges waren alle entweder offline oder gesperrt. Im Folgenden wird die Targeting-Landschaft der Nachkriegszeit dargestellt.
NADRA – Nationale Identität unter Kriegssperre
Die Nishan API-Plattform von NADRA – die Verisys (demografische Überprüfung), Biosys (biometrischer Fingerabdruck), multibiometrische (Fingerabdruck + Gesichtserkennung) und Lebensnachweisdienste für mehr als 220 Millionen pakistanische Bürger unterstützt – wurde völlig deaktiviert. Alle sechs öffentlich zugänglichen NADRA-Endpunkte gaben Fehler im Bereich von 403 bis 500 zurück.
Das CNIC-Nummernformat der NADRA kodiert Provinz, Bezirk, Tehsil, Gewerkschaftsrat, Familienstammbaum und Geschlecht in 13 Ziffern. Ein kompromittierter CNIC-Datensatz legt nicht nur eine ID-Nummer offen, sondern bildet auch die gesamte Verwaltungsregion einer Person ab.
Historische Zeitleiste des Verstoßes
Die aktuelle Enthüllung Pakistans geht mit einer dokumentierten Geschichte schwerwiegender Vorfälle einher.
| Datum | Vorfall | Auswirkungen |
|---|---|---|
| 2019–2023 | NADRA-Insider-Datendiebstahl durch Mitarbeiter | 2,7 Mio. Bürgerakten verkauft (Argentinien, Rumänien) |
| 2024 | NADRA verstößt gegen öffentliche Offenlegung | Betrügerische Ausweise für afghanische Staatsangehörige ausgestellt |
| 2025 | Globaler Verstoß gegen Anmeldedaten | 180 Millionen pakistanische Internetnutzer-Anmeldedaten |
| 2025 | SIM-Datenleck | Anruflisten der Bundesminister aufgedeckt |
| 2025 | Kampagne der afghanischen Cyber-Armee | 100 hochkarätige .gov.pk Websites unkenntlich gemacht |
Dateninventar
| Kategorie | Größe | Hauptinhalte |
|---|---|---|
| qau-full-dump/ | 6,6 MB | 200 Seiten, 484 Beiträge, 603 Medien, Mitarbeiterverzeichnisse |
| pu-full-dump/ | 8,3 MB | 101 Dateien, 18.460 URLs, 19 Abteilungen |
| ckan-dump/ | 8,9 MB | 1.471 Datensätze, 36 Benutzer, 22 Organisationen |
| balochistan-wp-dump/ | 5,9 MB | 149 Regierungsseiten, 1.297 Medien, Kommissare, Budgets |
| pak-wp-dumps/ | 6,3 MB | SIT WP, LUMS phpinfo, Admin-Seiten |
| pak-universitäten/ | 2,5 MB | 7 Universitätssonden (LUMS, AIOU, UOS, andere) |
| pak-deep-probe/ | 957 KB | Erste Zielaufklärung |
| Pak-Priorität/ | 216 KB | NADRA-, NTC-, NITB- und FBR-Sonden |
| pak-admin-panels/ | 32 KB | FSP- und EP-Administrator-Login-Analyse |
| GESAMT | 46 MB | 9 Zielkategorien |
Detaillierte technische Anhänge
Neun Fachberichte decken jeden Bereich des Betriebs in voller technischer Tiefe ab.
Methodik und Umfang
Alle in diesem Bericht dokumentierten Daten wurden durch passive Open-Source-Intelligence-Techniken unter Verwendung öffentlich zugänglicher Schnittstellen ermittelt. Es wurde keine Authentifizierung umgangen, keine Schwachstelle ausgenutzt und kein unbefugter Zugriff durchgeführt. Alle Daten waren zum Zeitpunkt der Erhebung ohne Zugangsdaten verfügbar.
Die Aufklärung wurde über Proxychains4/Tor aus anonymisierter Infrastruktur (CT105, 10.0.0.99) durchgeführt. Das Betriebsfenster war am 1. März 2026 von 07:27–09:45 UTC.
ODINT veröffentlicht diese Studie, um Transparenz, journalistische Rechenschaftspflicht und einen informierten öffentlichen Diskurs über die digitale Sicherheitslage der Regierung zu unterstützen. Die Offenlegung dieses Materials steht im Einklang mit der von ODINT. Ethikpolitik Und Methodik.