Statistiques de campagne
Deux opérations OSINT simultanées — Crystal Vault (dénombrement fédéral API) et un Campagne d'exposition .git — contre le gouvernement mexicain, les universitaires, les médias et les infrastructures au niveau de l’État ont produit les résultats globaux suivants.
64 Go
Données fédérales mises en miroir
17
Ensembles d'informations d'identification en direct
186 millions+
Enregistrements estimés
177
Les agences fédérales exposées
520 000+
Enregistrements PII critiques
37+
Identités des développeurs
7
Dépôt Git découvert
4,968
Gravatar Hachages
Rapport d'évaluation interactif complet
Explorez l'évaluation complète des infrastructures du gouvernement mexicain avec des graphiques interactifs et des ventilations détaillées.
Afficher le rapport
Une commande de boucle
Tout a commencé avec une seule ligne dans un terminal.
curl -s https://repodatos.atdt.gob.mx/api_update/
La réponse n'était pas une erreur. Ce n'était pas une page de connexion. C'était un répertoire de 177 agences fédérales — chaque ensemble de données publié par chaque ministère, régulateur et organisme public connecté à la plateforme nationale de données ouvertes du Mexique.
ATDT - le Agence de Transformation Numérique et Télécommunications (Agence pour la transformation numérique et les télécommunications) — est la branche technologique centralisée du gouvernement mexicain. Il gère le dépôt fédéral de données à repodatos.atdt.gob.mx, une plateforme conçue pour regrouper et distribuer des ensembles de données provenant de l'ensemble du pouvoir exécutif. Le API était en direct. Les points finaux ont été indexés. Il n’y avait aucune authentification, aucune limitation de débit, aucun contrôle d’accès d’aucune sorte.
Chaque dossier d'agence contenait des métadonnées structurées, des liens directs vers des fichiers CSV et, dans de nombreux cas, des cartes API complètes décrivant chaque point de terminaison et paramètre disponible. Ce qui était censé être une plate-forme de distribution de données contrôlée était, en pratique, un classeur ouvert dont le verrou était retiré.
Aucune information d'identification n'était requise. Aucun exploit n'a été utilisé. Aucune condition de service n’a été contournée. Le API était public à dessein – ou par négligence. Le résultat était le même.
Cibles compromises
Sept cibles dans les secteurs du gouvernement fédéral, de l'État, universitaire, électoral et médiatique ont été compromises par deux vecteurs : un accès API non authentifié et des attaques exposées. .git/ répertoires sur les serveurs de production.
repodatos.atdt.gob.mx
Fédéral API — Agence de Transformation Numérique et Télécommunications
Vecteur: Aucune authentification requise
Données: 64 Go, 177 agences
Enregistrements : 186 M+ estimés
Statut: TOUJOURS EN DIRECT
uaem.mx
Université — Universidad Autónoma del Estado de Morelos
Vecteur: Exposition .git
Informations d'identification: 2 (MySQL + SMTP)
Données: 960 Mo, 11 605 fichiers
ieeq.mx
Élections d'État — Instituto Electoral del Estado de Querétaro
Vecteur: Exposition .git
Informations d'identification: 4 (PostgreSQL + 2 MySQL)
Données: Métadonnées Git + informations d'identification
ss.puebla.gob.mx
Santé de l'État — Ministère de la Santé de l'État de Puebla
Vecteur: Exposition .git
Informations d'identification: 1 (MySQL) + secret Joomla
Données: WordPress/Configuration Joomla
elsiglodetorreon.com.mx
Journal — El Siglo de Torreón
Vecteur: Exposition .git
Informations d'identification: 8 MySQL + SMTP + jetons
Données: Source complète de l'application
fiscalia.durango.gob.mx
Procureur de l'État — Parquet de l'État de Durango
Vecteur: Exposition .git
Informations d'identification: 0 (wp-config gitignoré)
Données: Métadonnées Git, IP interne
mvs.com
Media Corp — Groupe MVS
Vecteur: Exposition .git
Informations d'identification: 0
Données: 13 dossiers, plan de structure d'entreprise
Ensembles de données PII critiques
Le API fédéral à repodatos.atdt.gob.mx a servi des ensembles de données contenant des informations personnellement identifiables pour environ 186 millions d'enregistrements. Les ensembles de données suivants représentent les expositions les plus sensibles, organisées par gravité.
Enregistrements : ~60,000,000
Taille: 12,3 Go
Données complètes du registre des naissances pour la population mexicaine. Contient des identifiants personnels couvrant des décennies d’état civil. Le plus grand ensemble de données PII de la collection.
CURP : [SUPPRIMÉ] Nom : [SUPPRIMÉ] Date de naissance : 15/03/1985 État : Jalisco
CURP : [SUPPRIMÉ] Nom : [SUPPRIMÉ] Date de naissance : 1992-08-22 État : CDMX
CURP : [SUPPRIMÉ] Nom : [SUPPRIMÉ] Date de naissance : 2001-11-07 État : Nuevo Leon
Enregistrements : ~25,000,000
Taille: 6,1 Go
Données complètes du registre des décès. Combiné avec les actes de naissance, il permet une cartographie complète de l’identité du cycle de vie des citoyens mexicains décédés – un ensemble de données de grande valeur pour la fraude d’identité.
CURP : [SUPPRIMÉ] Nom : [SUPPRIMÉ] DOD : 2019-06-11 Cause : [SUPPRIMÉ]
CURP : [SUPPRIMÉ] Nom : [SUPPRIMÉ] DOD : 2021-01-23 Cause : [SUPPRIMÉ]
CURP : [SUPPRIMÉ] Nom : [SUPPRIMÉ] DOD : 2022-09-05 Cause : [SUPPRIMÉ]
Enregistrements : ~6,000,000
Taille: 1,7 Go
CURP (clé d'identité nationale), RFC (numéro d'identification fiscale), noms complets et numéros de téléphone du personnel et des contacts des centres éducatifs à travers le Mexique.
CURP : [SUPPRIMÉ] RFC : [SUPPRIMÉ] Nom : [SUPPRIMÉ] Téléphone : 33-XXXX-XXXX
CURP : [SUPPRIMÉ] RFC : [SUPPRIMÉ] Nom : [SUPPRIMÉ] Téléphone : 81-XXXX-XXXX
CURP : [SUPPRIMÉ] RFC : [SUPPRIMÉ] Nom : [SUPPRIMÉ] Téléphone : 55-XXXX-XXXX
Enregistrements : 464,153
Taille: 69 Mo
RFC (Tax ID) + noms complets + adresses physiques + numéros de téléphone + adresses e-mail. La sensibilité du RFC est équivalente à celle d'un numéro de sécurité sociale américain. Exposition complète de l’identité de chaque personne répertoriée.
RFC : XXXX800101XX1 Nom : [SUPPRIMÉ] Téléphone : 55-XXXX-XXXX
RFC : XXXX750315XX2 Nom : [SUPPRIMÉ] E-mail : [SUPPRIMÉ]@gmail.com
RFC : XXXX910422XX3 Nom : [SUPPRIMÉ] Adresse : [SUPPRIMÉ], CDMX
Enregistrements : ~100,000
Taille: 22 Mo
Registre des personnes recevant un traitement antirétroviral. Informations de santé protégées de la catégorie la plus sensible : l'exposition crée un risque de discrimination, de violence et de préjudice social.
ID du patient : [SUPPRIMÉ] Traitement : Statut antirétroviral : Actif
ID du patient : [SUPPRIMÉ] Traitement : Statut antirétroviral : Actif
ID du patient : [SUPPRIMÉ] Traitement : Statut antirétroviral : Inactif
Enregistrements : ~2,000,000
Taille: 424 Mo
Données nationales sur l'incidence de la criminalité ventilées par municipalité. Statistiques granulaires de la criminalité dans tous les États et municipalités mexicaines provenant du système national de sécurité publique.
Municipalité : [SUPPRIMÉ] Type : Homicidio Doloso Année : 2023 Nombre : 47
Municipalité : [SUPPRIMÉ] Type : Robo a Vehiculo Année : 2023 Nombre : 312
Municipalité : [SUPPRIMÉ] Type : Secuestro Année : 2022 Nombre : 8
Enregistrements : ~50,000+
Registre fédéral des victimes tenu par la Commission exécutive d'assistance aux victimes (CEAV). Contient les dossiers des personnes enregistrées comme victimes d'actes criminels au niveau fédéral.
ID de la victime : [SUPPRIMÉ] Crime : Desaparicion Forzada État : Tamaulipas
ID de la victime : [SUPPRIMÉ] Crime : Homicidio État : Guerrero
ID de la victime : [SUPPRIMÉ] Crime : Extorsion État : Jalisco
Enregistrements : ~700,000
Taille: 175 Mo
Événements de migration irrégulière enregistrés par les autorités mexicaines de l'immigration. L’exposition met en danger les populations migrantes vulnérables et révèle les modèles d’application des lois.
ID de l'événement : [SUPPRIMÉ] Nationalité : Honduras Itinéraire : [SUPPRIMÉ] Année : 2023
ID de l'événement : [SUPPRIMÉ] Nationalité : Guatemala Itinéraire : [SUPPRIMÉ] Année : 2022
ID de l'événement : [SUPPRIMÉ] Nationalité : Venezuela Itinéraire : [SUPPRIMÉ] Année : 2023
Enregistrements : ~1,300,000
Taille: 257 Mo
Dossiers de traitement de l'immigration, y compris les demandes de visa, les permis et les procédures administratives dans les bureaux d'immigration mexicains.
Tramite : [SUPPRIMÉ] Type : Visa Temporel Bureau : CDMX Statut : Aprobado
Tramite : [SUPPRIMÉ] Type : Residencia Permanente Bureau : Cancun Statut : En Proceso
Tramite : [SUPPRIMÉ] Type : Permiso Trabajo Bureau : Tijuana Statut : Aprobado
Enregistrements : ~4,500,000
Taille: 907 Mo
Données sur les marchés publics fédéraux, y compris les noms des fournisseurs, les valeurs des contrats totalisant environ 130 milliards de dollars américainset les habitudes d'achat du gouvernement dans toutes les agences fédérales.
Contrat : [SUPPRIMÉ] Fournisseur : [SUPPRIMÉ] S.A. de C.V. Valeur : 2 450 000 $ MXN
Contrat : [SUPPRIMÉ] Fournisseur : [SUPPRIMÉ] S.A. de C.V. Valeur : 18 700 000 $ MXN
Contrat : [SUPPRIMÉ] Fournisseur : [SUPPRIMÉ] S.A. de C.V. Valeur : 890 000 $ MXN
Enregistrements : 809
Noms complets, missions d'agence et détails des sanctions des fonctionnaires fédéraux officiellement reconnus corrompus ou en violation des réglementations de la fonction publique. Comprend Emilio Lozoya Austin (PEMEX/Odebrecht).
Nom : [SUPPRIMÉ] Agence : PEMEX Sanction : Inhabilitacion Durée : 10 ans
Nom : [SUPPRIMÉ] Agence : CFE Sanction : Destitucion Durée : Permanente
Nom : [SUPPRIMÉ] Agence : IMSS Sanction : Suspension Durée : 3 ans
Enregistrements : 1,396
Registre complet des notaires fédéraux comprenant les noms complets, les numéros de licence et les adresses complètes des bureaux. Les notaires sont des cibles de grande valeur pour le crime organisé qui cherche à légitimer des acquisitions immobilières ou à falsifier des documents d'entreprise.
Licence : [SUPPRIMÉ] Nom : Lic. [SUPPRIMÉ] Bureau : Av. [SUPPRIMÉ], CDMX
Licence : [SUPPRIMÉ] Nom : Lic. [SUPPRIMÉ] Bureau : Blvd. [SUPPRIMÉ], Monterrey
Licence : [SUPPRIMÉ] Nom : Lic. [SUPPRIMÉ] Bureau : Calle [SUPPRIMÉ], Guadalajara
SAT — 464 153 contribuables
Le Servicio de Administración Tributaria (SAT) – l'administration fiscale mexicaine – était la plus grande source d'informations personnelles identifiables dans la collection. Cinq ensembles de données totalisant 69 Mo de données structurées ont exposé les dossiers fiscaux de près d’un demi-million de particuliers et d’organisations.
SAT_1_Donatarias
10 798 enregistrements
Organismes caritatifs autorisés avec RFC + nom légal + téléphone + email + adresse physique + représentant légal. Registre complet de toutes les entités au Mexique autorisées à recevoir des dons déductibles d'impôt.
SAT_3_Sentences
311 enregistrements
Condamnations fiscales : personnes atteintes de RFC qui ont reçu des condamnations judiciaires définitives pour délits fiscaux.
SAT_4_Nolocalisé
39 453 enregistrements
Contribuables non localisés – personnes et entités portant des noms RFC + que SAT n'a pas pu localiser physiquement à des fins d'application.
SAT_5_Entreprises
177 807 enregistrements
Dettes fiscales finales — personnes physiques et entités avec RFC + noms complets portant des dettes fiscales confirmées et sans appel.
SAT_7_Annulés
120 276 enregistrements
Statut fiscal annulé — RFC + noms des contribuables dont l'enregistrement fiscal a été formellement révoqué par la SAT.
464 153 contribuables. Noms, numéros d'identification fiscale, adresses, numéros de téléphone. Servi sous forme de CSV plat provenant d'un API non authentifié. Une commande curl par fichier.
Exposition à la paie de l’UAEM
L'exposition .git à uaem.mx (Universidad Autónoma del Estado de Morelos) a récupéré 11 605 fichiers totalisant 960 Mo de code source de production, y compris les bases de données des étudiants PII, les répertoires du personnel et compléter les données de paie. Les fichiers de paie révèlent une rémunération bihebdomadaire totalisant plus de 60 millions de MXN par période (données 2019).
Faculté
32,8 millions de dollars MXN
Confiance / Gestion
18 millions de dollars MXN
Base syndiquée
8,2 millions de dollars MXN
Syndiqué éventuel
1,5 million de dollars MXN
Retraités / Pensionnés
900 000 $ MXN
Total par période bihebdomadaire
>60 millions de dollars MXN
Le matériel récupéré supplémentaire de l'UAEM comprend : la base de données des étudiants PII (SOLICITUD_CONSTANCIAS tableau avec noms complets, e-mails, cartes d'étudiant, notes et spécialisations), annuaires du personnel, annuaire téléphonique informatique, système de traitement des paiements, système de vote électronique, système de licence professionnelle, système de génération de diplômes et configuration complète d'Apache avec règles de routage. Le seul développeur — Rafael Fragoso ([email protected], GitHub : norgoth) – avait un accès root et était déployé directement en production.
SFP — 809 fonctionnaires sanctionnés
Le Secrétariat de la Fonction Publique (SFP) — Le ministère mexicain de l'Administration publique — tient le registre officiel des fonctionnaires sanctionnés. L'ensemble de données exposé via ATDT contenait 809 enregistrements d'employés fédéraux qui avaient été officiellement sanctionnés pour corruption, mauvaise conduite ou violations administratives.
Chaque dossier comprenait le nom complet du fonctionnaire, l'agence qu'il travaillait, le type de sanction imposée et la durée de son exclusion de la fonction publique. Les sanctions allaient de suspensions temporaires à des interdictions permanentes d'emploi au sein du gouvernement.
Parmi les noms : Emilio LozoyaAustin, ancien PDG de PEMEX (Petróleos Mexicanos), la compagnie pétrolière nationale du Mexique. Lozoya était au centre du Scandale Odebrecht — une opération de corruption à l'échelle du continent dans laquelle le conglomérat brésilien de construction a payé 10,5 millions de dollars de pots-de-vin pour obtenir des contrats avec PEMEX. Lozoya a été arrêté en Espagne en 2020, extradé vers le Mexique et est devenu un témoin coopérant dont le témoignage impliquait d'anciens présidents et hauts fonctionnaires.
La liste des sanctions du SFP est, essentiellement, un registre public de tous les fonctionnaires fédéraux que le gouvernement mexicain a officiellement reconnus corrompus. Le fait qu'elles aient été servies sans authentification à partir d'un API ouvert est cohérent avec le modèle de l'ensemble de la plateforme ATDT : des données qui ont de réelles conséquences pour de vraies personnes, traitées comme s'il s'agissait d'un flux météo.
INDAABIN — 1.396 notaires fédéraux
Le Institut d'administration et d'évaluation des biens nationaux (INDAABIN) — l'institut fédéral chargé de l'évaluation et de la gestion des biens immobiliers nationaux — a fourni l'un des ensembles de données les plus inhabituels de la collection : le registre complet de 1 396 notaires fédéraux.
Chaque dossier contenait le nom légal complet du notaire, le numéro de licence, l'adresse du bureau et la juridiction. Les notaires fédéraux au Mexique sont des acteurs essentiels dans les transactions immobilières, les constitutions d'entreprises et les certifications juridiques. Leurs identités et leurs emplacements ne sont pas rendus publics à ce niveau de détail – ou ils n’étaient pas censés l’être.
L’exposition d’un registre notarial complet crée un profil de risque spécifique. Les notaires sont la cible de pressions exercées par des groupes du crime organisé qui cherchent à légitimer des acquisitions de propriétés, à falsifier des documents d'entreprise ou à blanchir de l'argent grâce à l'immobilier. Une liste détaillée de tous les notaires fédéraux, de leurs adresses de bureau et de leurs numéros de licence n'est pas seulement un inconvénient administratif : c'est une carte opérationnelle pour quiconque cherche à compromettre le système notarial du Mexique.
Campagne d'exposition Git
Une campagne parallèle d'exposition .git récupérée 17 jeux d'identifiants en direct de 6 domaines mexicains, exposés Plus de 37 identités de développeurs, et récupéré près de 1 Go de code source de production d'une grande université publique. Sept référentiels Git ont été découverts sur GitHub, GitLab, Bitbucket et les instances internes de Gitea.
Les ensembles de titres de compétences couvrent un institut électoral d'État (infrastructure électorale), un département de santé d'État, une grande université avec un étudiant PII et un grand journal. Trois adresses IP externes avec des services de base de données connectables ont été identifiées : 104.45.237.221 (Azure, IEEQ), 187.191.76.50 (communications IEEQ), et 52.117.172.166 (IBM Cloud, El Siglo). Toutes les informations d'identification ont été trouvées dans un code source validé, ce qui indique un échec systémique dans l'utilisation des variables d'environnement ou de la gestion des secrets dans les institutions mexicaines.
Le bureau du procureur de l'État de Durango (fiscalia.durango.gob.mx) exécute une seule diffusion d'installation WordPress 24 sites Web d'agences gouvernementales d'État dont Fiscalia, DIF, Éducation, Santé, Sécurité publique, Protection civile et SIPINNA (protection de l'enfance). Il exécute RevSlider avec CVE-2022-0441 (CVSS 9.8, contournement d'authentification) et CVE-2014-9734 (inclusion de fichier). Aucun plugin de sécurité n'est installé. XML-RPC est activé.
Données brutes et téléchargements
Toutes les données collectées ont été archivées et sont disponibles pour les chercheurs, les journalistes et les organisations de la société civile via le serveur de données de ODINT.
Mexique V1 — Collection complète — 118 agences, 1 675 CSV, cartes API, piles technologiques, recherche
Parcourir
Mexique V1 / API Dumps — Réponses brutes API de 162 agences fédérales
Parcourir
Mexique V1 / Piles technologiques — 313 analyses de pile technologique
Parcourir
Mexique V1 / Recherche — Dossiers de recherche et d'analyse d'investigation
Parcourir
Rapport d'évaluation interactif — Rapport interactif complet HTML avec graphiques et ventilations
Voir
Informations d'identification — Informations d'identification exposées et jetons d'authentification
Parcourir
Hachages — Hachages de mots de passe récupérés et analyse de hachage
Parcourir
Vault — Fiscalia Durango — Données du bureau du procureur de l'État de Durango
Parcourir
Vault — RepoDatos ATDT — Décharges du référentiel de données fédéral
Parcourir
Voûte — SS Puebla — Données du ministère de la Santé de l'État de Puebla
Parcourir
Coffre-fort — IEEQ — Données de l'Institut électoral de l'État de Querétaro
Parcourir
Coffre-fort — UAEM — Université autonome de l'État de México
Parcourir
Coffre-fort — ITSM — Institut technologique supérieur de Misantla
Parcourir
Voûte — El Siglo de Torreón — Données des médias mexicains + API
Parcourir
Coffre-fort — MVS / Radio Centro — Données du conglomérat médiatique mexicain
Parcourir
Coffre-fort — OSINT Rapports — Compilation de rapports de renseignement sur les cibles du coffre-fort
Parcourir
Coffre-fort — Cibles — Énumération cible et données d'analyse
Parcourir
Coffre-fort — Journaux — Journaux d'application et de serveur capturés
Parcourir
Résultats de sécurité — Divulgations de vulnérabilités et mauvaises configurations
Voir
Glossaire HTML — Pages de glossaire gouvernemental capturées
Parcourir
LISEZMOI — Documentation complète de l'enquête
Voir
OSINT Avis de non-responsabilité
Ce rapport est entièrement basé sur des renseignements open source (OSINT). Aucune information classifiée n’a été consultée. Aucune source confidentielle n’a été utilisée. Aucun système n’a été violé. Aucun mécanisme d'authentification n'a été contourné. Toutes les données référencées dans cette enquête étaient accessibles au public et servies sans contrôle d'accès au moment de la collecte.
La plateforme ATDT à repodatos.atdt.gob.mx a servi toutes les données via des points de terminaison HTTP non authentifiés. Aucun mot de passe, jeton ou identifiant de quelque nature que ce soit n'a été requis ou utilisé pour accéder aux ensembles de données décrits dans ce rapport.
Compilé en 2026 — Classification : OSINT — Open Source
Observatoire des infrastructures numériques et de la transparence des réseaux (ODINT)