Cyber Tour Cuba

Evaluation de l'infrastructure gouvernementale, militaire et des entreprises d'Etat — du conglomérat à 18 milliards de dollars de GAESA jusqu'aux API sans authentification qui divulguent des données de citoyens.

L'armée dirige l'économie. Nous avons cartographié l'infrastructure qu'ils ont oublié de sécuriser.

← Retour aux Cyber Tours
2,052 Domaines analysés
31,684 Paiements exposés
5,313 Dossiers étudiants avec PII
805 Agences bancaires (GPS)
131 Domaines gouvernementaux (V1)
42 Filiales de GAESA
13,800+ Emails uniques exposés
307 MB Volume de preuves

A propos de cette enquête

Evaluation OSINT en deux phases de l'infrastructure gouvernementale cubaine. V1 (janvier 2026) a documenté 131 domaines .gob.cu dans 20 catégories — présidence, ministères, armée, médias d'Etat, infrastructure, justice et entreprises publiques. V2 (mars 2026) a étendu le périmètre à 2 052 domaines via la transparence des certificats et l'énumération DNS, révélant l'empreinte numérique du conglomérat militaire GAESA, un fournisseur logiciel à point de défaillance unique catastrophique (Guajiritos S.R.L.) et des API sans authentification exposant des dizaines de milliers d'enregistrements de paiement avec PII client. Toutes les données ont été obtenues passivement via une rotation multinœud sur Tor — sans exploitation et sans authentification.

GAESA : l'armée dirige aussi internet

GAESA (Grupo de Administración Empresarial S.A.) est le conglomérat commercial de l'armée cubaine et contrôle environ 40 % de l'économie nationale et 95 % des transactions en devises. Sur 42 filiales examinées, 34 n'ont aucun enregistrement DNS — une opacité numérique totale. Mais les 20 % qui sont en ligne partagent un fournisseur logiciel unique, un certificat SSL unique et un ensemble unique d'API sans authentification. Une seule entreprise — Guajiritos S.R.L. — construit et exploite tout l'IT touristique de plus de 20 sociétés de GAESA. Un compromis de Guajiritos reviendrait à compromettre toute l'infrastructure cubaine de réservation touristique, les marinas militaires, le tourisme médical et la flotte de location.

Réseau touristique de GAESA

7 entreprises, 1 certificat SSL, tout partagé

EntrepriseDomaineRôle
Havanatur S.A.*.havanatursa.comPlateforme principale de réservation (12 sous-domaines API)
Grupo Cubanacan*.grupocubanacan.comGroupe touristique
Marinas Gaviota S.A.*.marinasgaviotasa.comMarina militaire / tourisme nautique
Cubanacan S.A.*.cubanacansa.comOpérateur touristique
Okaturs*.okaturs.comOpérateur touristique
CIS La Pradera*.cislapradera.comTourisme médical / centre international de santé
Ofertas Travel*.ofertastravel.comOpérateur touristique

Constats critiques

Données exposées sans authentification dans l'infrastructure gouvernementale et militaire cubaine

ConstatSourceImpact
31 684 enregistrements de paiement avec PII clientGAESA tourism APIs13 800+ emails, 27 500+ numéros de téléphone
Inventaire complet de la flotte de locationHavanatur API156 véhicules, prix, disponibilité
805 agences bancaires avec coordonnées GPSBanco Central APICarte complète de l'infrastructure financière
Système de triple taux de change exposéBanco Central APITaux officiels, informels et crypto
5 313 dossiers étudiants avec identifiants nationauxGitLab UCLVPII complète : noms, numéros CI, données d'inscription
APP_KEY Laravel + secrets de base de donnéesGitLab UCLV commitsCapacité potentielle d'exécution de code à distance
Hachages de mots de passe bcryptGitLab UCLVRisque de vol de secrets
Password grant OpenID ConnectUCLV auth systemPoint d'authentification directe par mot de passe
PII d'employés ETECSA dans un certificat SSLCertificate transparencyFuite de données organisationnelles internes
Enumération d'utilisateurs WordPress (14 comptes)Santé, éducation, médias .gob.cuHachages Gravatar, cibles de connexion
Coordonnées GPS du QG militaire du MINFARMétadonnées publiquesAvenida Independencia, La Habana 10400
12 identifiants Google Analytics cartographiésSites gouvernementauxSuivi intersite et cartographie relationnelle

Secrets et identifiants

Secrets exposés, hachages de mots de passe, clés d'API et PII dans les deux évaluations

🔑
Rapport V2 sur les secrets exposés
Laravel APP_KEY (RCE), root DB passwords, bcrypt hashes, OpenID password grant
Voir
🔑
Tous les secrets V1
Secrets compilés à partir de 131 domaines gouvernementaux
Voir
🔐
Hachages de mots de passe WordPress
Tous les hachages WordPress collectés sur les domaines .gob.cu
Voir
🔐
Hachages Gravatar
Email hashes from WordPress user enumeration
Voir
📧
Liste maîtresse d'emails
64 government email addresses extracted
Voir
👤
Tous les noms d'utilisateur
14 enumerated accounts across government CMS platforms
Voir
📞
Numéros de téléphone
Numéros de téléphone gouvernementaux extraits de l'infrastructure
Voir
👤
Comptes de réseaux sociaux
Comptes officiels sur les réseaux sociaux identifiés
Voir
🔧
Fuites de configuration
Exposed server configurations and debug endpoints
Explorer
🔥
Cuba Pwned
OSINT social posts and visual evidence
Explorer

V1 — Collecte de l'infrastructure gouvernementale

131 domaines dans 20 catégories — janvier 2026

🏛
01 — Présidence
Exécutif, Parti communiste (PCC)
Explorer
🏛
02 — Ministères
Infrastructure des ministères
Explorer
🛡
03 — Armée et sécurité
MINFAR, MININT, douanes
Explorer
📺
04 — Médias d'Etat
Granma, Cubadebate, Radio Rebelde, Juventud Rebelde
Explorer
05 — Infrastructure
ETECSA, utilities, telecom
Explorer
06 — Justice
Tribunaux, parquet
Explorer
🏛
07 — Autres organismes publics
Banks, health, education, state enterprises
Explorer
📄
08 — Sources HTML
Copies HTML hors ligne des sites gouvernementaux
Explorer
🔒
09 — Certificats SSL
16 certificates collected and analyzed
Explorer
🔌
10 — API
Points d'accès API découverts
Explorer
🔎
11 — Identifiants de suivi
12 identifiants Google Analytics cartographiés
Explorer
💻
12 — Piles technologiques
CMS, frameworks, server fingerprints
Explorer
🚨
13 — Constats critiques
Expositions de haute gravité
Explorer
🤖
14 — Constats IA
Résultats d'analyse assistée par IA
Explorer
🗃
15 — Dumps bruts
Extraction de données brutes
Explorer
🗃
16 — Exports bruts
Données de scan exportées
Explorer
🔑
17 — Secrets exposés
Secrets et identifiants découverts
Explorer
🔧
18 — Fuites de configuration
Exposed configuration files
Explorer
📊
19 — Synthèse de suivi
Carte relationnelle du suivi intersite
Explorer
📄
20 — Rapports
Rapports OSINT principaux
Explorer

V2 — GAESA et infrastructure profonde

2 052 domaines — conglomérat militaire, GitLab universitaire, API bancaires — mars 2026

📄
Rapport V2 des constats
838-line master report — GAESA, Guajiritos, payment records, student PII, credentials
Voir
🔑
Secrets exposés
Secrets de base de données, APP_KEY et secrets issus de l'évaluation V2
Explorer
🗃
Dumps tourisme GAESA
Enregistrements de paiement et données de flotte du réseau touristique militaire
Explorer
🗃
Dumps API Havanatur
Système de réservation, flotte de location, données clients
Explorer
🗃
Infrastructure Guajiritos
IT touristique à fournisseur unique — preuve d'une base de code partagée
Explorer
🏦
Dumps Banco Central
805 bank branches, GPS coordinates, exchange rates
Explorer
🎓
GitLab UCLV
5,313 student records, Laravel credentials, bcrypt hashes
Explorer
🛡
Données MINFAR
Données d'infrastructure militaire
Explorer
🎓
Scans universitaires
Evaluation de l'infrastructure de l'enseignement supérieur
Explorer
🚌
Données WeTransp
Dumps d'infrastructure de transport
Explorer

© 2026 Observatory for Digital Infrastructure and Network Transparency. Organisation indépendante à but non lucratif.

Accueil · Confidentialité · Conditions

Faire un don