הפרלמנט פתוח לרווחה - אלבניה OSINT ביקורת

סטטיסטיקת מסע פרסום

חקירה דו-שלבית OSINT - סיור פסיבי בינואר 2026, ואחריו ספירה פעילה של API ואיסוף נתונים ב-25 בפברואר 2026 - המכוונת לתשתית דיגיטלית של ממשלת אלבניה הביאו את הממצאים הבאים.

251 מגה-בייט סך הנתונים שנאספו

1,309 קבצים שוחזרו

236 MP Records (מלא PII)

54,545 מסמכי הפרלמנט

7 פתח את API נקודות קצה

59 פתח את נקודות הקצה של פורטל הנתונים

110 תת-דומיינים של AKSHI ממופים

832 דומיינים אלבניים .gov.al

הקשר: המדינה הדיגיטלית השאפתנית של אלבניה

אלבניה הקדישה את העשור האחרון לבניית אחת מהתשתיות הממשלתיות הדיגיטליות השאפתניות ביותר במזרח אירופה. הסוכנות הלאומית לחברת מידע - אקשי (Agjencia Kombëtare e Shoqërisë së Informacionit) - מנהלת רשת המחברת בין 220 מוסדות ממשלתיים, מארחת 380 אתרי אינטרנט ממשלתיים, מפעילה 600+ שירותים אלקטרוניים לאזרחים, ומחזיקה CSIRT ייעודי לפעולות אבטחת סייבר. אלבניה דורגה מקום 14 בעולם במדד הבשלות של GovTech 2025 וקיבל הכרה של האו"ם כמודל לטרנספורמציה דיגיטלית.

המדינה היא גם חברה בנאט"ו השואפת באופן פעיל לחברות באיחוד האירופי, עם יעד הצטרפות ל-2030. בריסל זיהתה בעקביות שחיתות כמכשול העיקרי. תגובתה של אלבניה, בספטמבר 2025, הייתה למנות את שר הבינה המלאכותית הראשון בעולם.

דילה - על שם המילה האלבנית ל"שמש" - היא מערכת בינה מלאכותית שפותחה על ידי AKSHI באמצעות Microsoft Azure ו-OpenAI. ראש הממשלה אדי ראמה מינה אותה לשרת המדינה לבינה מלאכותית בשליחות מוצהרת: "מכרזים ציבוריים יהיו נקיים ב-100 אחוז משחיתות". באוקטובר 2025, ראמה הודיעה שדילה "בהיריון עם 83 עוזרים דיגיטליים" שיוקצו לכל חבר פרלמנט ממפלגת השלטון כדי לפקח על ישיבות החקיקה.

"הסוכנות שבנתה את הבינה המלאכותית נגד שחיתות של אלבניה הייתה בעצמה מפעל פלילי. המנכ"ל וסגנו נעצרו שלושה חודשים לאחר מינויה של דילה, שהואשמו בהפעלת קבוצת פשע מובנית כדי לתמרן מכרזים ממשלתיים".

הסיפור

חקירה זו החלה בינואר 2026 כסיור פסיבי: מיפוי התשתית של AKSHI ודילה, זיהוי תת-דומיינים באמצעות שקיפות תעודות, בדיקה של מערכות הפונות לציבור. המסקנה הראשונית הייתה פשוטה - תשתית ממשלת אלבניה הייתה, בסטנדרטים אזוריים, מאובטחת היטב. WAFs בדומיינים הראשיים, WordPress API הדורשים אימות, אין אישורים חשופים בחבילת JavaScript הקדמי של Diella.

ההערכה השתנתה לחלוטין בפברואר 2026. כאשר הספירה פנתה לפרלמנט האלבני - 83 "ילדי" הבינה המלאכותית של המוסד דילה היו אמורים לעקוב אחר - נוצרה תמונה אחרת. הפרלמנט (parlament.al) משרת יישום React של עמוד אחד, שעל פניו נראה כמבוי סתום: הוא מחזיר HTTP 200 עבור כל הנתיבים, תמצית SPA קלאסית. אבל החבילה הראשית של JavaScript סיפרה סיפור אחר.

משיכת חבילת ה-JS של 355 קילו-בייט והפעלת חילוץ מחרוזות גילתה כתובת אתר בסיסית API מקודדת קשה: https://kuvendiapi.azurewebsites.net/api. חילוץ נוסף ממשתני webpack ממוזער יצר שבעה שמות של ישויות OData. כל נקודת קצה הגיבה לבקשות GET לא מאומתות. ללא אסימונים, ללא הגבלת קצב, ללא בקרות גישה מכל סוג שהוא.

כל החלק האחורי של הפרלמנט האלבני API היה פתוח לרווחה.

האירוניה עמוקה. המנכ"לית של AKSHI, מירלינדה קרצ'נאג' וסגניתה נעצרו בדצמבר 2025 - שלושה חודשים בלבד לאחר מינויה של דילה - שהואשמו בניהול קבוצת פשע מובנית בתוך הסוכנות עצמה שבנתה את השר נגד AI נגד שחיתות. SPAK (המבנה המיוחד של אלבניה נגד שחיתות) זיהה 12 הליכי מכרזים שעברו מניפולציה שיטתית. הפרלמנט API היה פתוח לפחות מאז ינואר 2022. ודילה - משולבת בפלטפורמת e-Albania, עם גישה ל-36,000+ מסמכים ממשלתיים - לא ראתה דבר מזה.

ממצא קריטי 1 - הפרלמנט האלבני: לא מאומת API

kuvendiapi.azurewebsites.net — OData של הפרלמנט API קריטי - גבוה

אימות: אין צורך סך המסמכים: 54,545 MP PII רשומות: 236 סטָטוּס: פתח את נקודת הקצה של Azure

החלק האחורי של הפרלמנט האלבני פועל על ASP.NET OData API המתארח ב-Azure. ממשק ה-React (parlament.al) חושף את כתובת האתר הבסיסית API ושמות הישויות בחבילת ה-JavaScript הממוזערת שלו. כל נקודות הקצה מגיבות לבקשות GET לא מאומתות. נקודת הקצה המוגנת היחידה היא /abonimet (מנויים), שמחזירה 401. כל השאר - חברי פרלמנט, ועדות, חקיקה, פגישות, מסמכים - נגיש לציבור.

פתח את API נקודות קצה

נקודת קצה	שיאים	גוֹדֶל	תוֹכֶן
/אנטרט	236	138 KB	רשומות MP - מלא PII
/strukturat	—	274 KB	ועדות פרלמנטריות
/aktet	—	3.1 מגה-בייט	פעולות חקיקה, אינטרפלציות
/lajmet	—	19.8 מגה-בייט	כתבות חדשות פרלמנטריות
/mbledhjet	—	2.2 מגה-בייט	רישומי מפגשים ופגישות
/dokumentet	54,545 כתובות אתרים	30.2 מגה-בייט	קטלוג מסמכים עם כתובות URL ישירות של Azure Blob
/YouTube/חיפוש	—	8 KB	פרוקסי לחיפוש סרטוני YouTube
/abonimet	—	401	רק נקודת קצה מוגנת

MP PII חשוף - 236 רשומות

כל אחד מ-236 חברי הפרלמנט רשם ב- /anetaret התגובה מכילה את המידע המאפשר זיהוי אישי הבא:

שם חוקי מלא (שם פרטי, שם אב, שם משפחה)
תאריך לידה ומקום לידה
כתובת אימייל רשמית (@parlament.al)
שיוך מפלגתי ומחוז בחירות
כתובת אתר של תמונת פרופיל (מתארח ב-Azure Blob Storage)
קישורי מדיה חברתית (פייסבוק, טוויטר/X, לינקדאין)
מעמד פרלמנטרי פעיל / לא פעיל

זה מהווה תיק שלם ומובנה על כל אדם המשרת בבית המחוקקים האלבני - כולל מזהים אישיים, מידע ליצירת קשר והשתייכות פוליטית. הנתונים נאספו מבלי לעקוף שום אימות או בקרת גישה.

קבל https://kuvendiapi.azurewebsites.net/api/anetaret HTTP/1.1 200 בסדר סוג תוכן: application/json { "Emri": "[השם הותקן]", "Atesia": "[שם האב הותקן]", "Mbiemri": "[שם משפחה תוקן]", "Datelindja": "1970-XX-XX", "Vendlindja": "טירנה", "Email": "[REDACTED]@parlament.al", "Partia": "Partia Socialiste", "זונה": "טירנה", "אקטיב": נכון }

אחסון כתם תכלת - 54,545 מסמכים ציבוריים

ה /dokumentet נקודת קצה מחזירה קטלוג של 30.2 MB JSON המפרט כל מסמך בארכיון הפרלמנטרי. רישום המכולה פועל kuvendiwebfiles.blob.core.windows.net/webfiles/ מושבת - אבל כל כתובת אתר ניתנת למנות ישירות דרך התגובה API, ולכל הבלובים הבודדים מופעלת גישת קריאה ציבורית.

סוג קובץ	לִסְפּוֹר
PDF	32,627
JPEG / JPG	18,289
JFIF	1,768
DOCX	885
DOC	397
XLSX	392
PNG	208
XLS	117

בין המסמכים ששוחזרו: טבלאות שכר MP (סגן PAGA) ו שיאי הטבות MP (PERFITIME DEPUTETE) המכסה את השנים 2018–2020 על בסיס חודשי; את מרשם הלוביסטים (Regjistri elektronik i Lobisteve); FOIA בקשות ויומני תגובות משתרע על פני 2018–2021; טבלאות הוצאות תקציב ונתוני קרן העתודה הציבורית; החוקה האלבנית, חוק הבחירות וחוק מעמד סגן; ודוחות שנתיים פרלמנטריים מ-2013 עד 2019.

חבילת JavaScript מכילה גם הפניה פנימית מקודדת API בכתובת http://134.0.63.165:5000/public - כתובת IP פנימית שאינה ניתנת להשגה מהאינטרנט הציבורי, המאשרת שקיימת תשתית עורפית נוספת מעבר למה שנחשף בפומבי.

דוח טכני מלא

ממצא קריטי 2 - שערוריית שחיתות AKSHI

מנכ"ל AKSHI וסגן - נעצר בגין שחיתות קרִיטִי

תַאֲרִיך: דצמבר 2025 מחויב על ידי: SPAK (מבנה מיוחד נגד שחיתות) מכרזים שנבדקו: 12

מירלינדה קרצ'נאי, מנכ"לית AKSHI, וסגניתה הושמו במעצר בית בדצמבר 2025, שלושה חודשים לאחר מינויה של דילה לשרת המדינה לבינה מלאכותית. אישומים: השתתפות בקבוצה פלילית מובנית, מניפולציות במכרזים וניצול לרעה של תפקיד. AKSHI - הסוכנות האחראית על כל תשתית הממשל הדיגיטלי של אלבניה ויוצרת ה-AI נגד שחיתות - הייתה בעצמה מפעל פלילי. בירן דיווח כי לכידתו של AKSHI על ידי אינטרסים פליליים "מסכנת את הביטחון הלאומי".

דוח מלא

האירוניה במספרים

המטרה המוצהרת של דילה	מְצִיאוּת
"מכרזים ציבוריים יהיו נקיים ב-100% משחיתות"	הנהגת AKSHI נעצרה בגין מניפולציה מכרזית
שר בינה מלאכותית להילחם בשחיתות למען הצטרפות לאיחוד האירופי	מנהל הסוכנות נעצר 3 חודשים לאחר המינוי
ילדי בינה מלאכותית לפקח על פעילות החקיקה של כל חבר פרלמנט	הפרלמנט API פתוח, אפס אישור, כל הנתונים של חברי הפרלמנט חשופים
משולב ב-36,000+ מסמכים ממשלתיים	מסמכים שהחקירה הזו ניגשה אליהם ללא אישורים

ממצא 3 - ניתוח Frontend של דילה AI

proud-coast-026495803.4.azurestaticapps.net - דילה Frontend חומרה נמוכה

מִסגֶרֶת: Vue.js 3.5 / קוואזר גודל חבילה: 229 KB נמצאו אישורים: אַף לֹא אֶחָד

חבילת JavaScript הקדמי של Diella נותחה במלואה. לא נמצאו מפתחות API, לא נמצאו כתובות URL של נקודות קצה עורפיות, לא נמצאו אישורים מקודדים. כל התצורה הרגישה מוזרקת בזמן ריצה דרך Azure backend. נקודות הקצה של האימות של Azure Static Web App מגיבות כרגיל: /.auth/me מחזירה clientPrincipal null; /.auth/login/aad מפנה ל-Azure AD. התשתית האחורית הפנימית של AKSHI (dc-hasura, dc-keycloak, dc-hapi, dc-rest) פותרת רק על DNS פנימית - אין גישה ציבורית.

דוח מלא OSINT

האבטחה הטכנית של תשתית החזית של דילה עצמה היא, כשלעצמה, מוכשרת. Azure Static Web Apps, תצורה המוזרקת בזמן ריצה, IAM תקין באמצעות Keycloak, תשתית פנימית מפולחת. אבל שאלות האבטחה שמעלה דילה אינן טכניות בעיקרן: הן מוסדיות. הסוכנות השולטת בנתוני האימון, הגישה למערכת והפרמטרים התפעוליים של דילה נפגעה על ידי האקרים של המדינה האיראנית ב-2022 ופעלה כמפעל פלילי עד דצמבר 2025. כיצד נבנתה דילה עם נתונים ממערכות שנפגעו? מי פיקח על הבינה המלאכותית נגד שחיתות בזמן שיוצריה תמרנו מכרזים?

מציאת 4 - פתח את פורטל הנתונים

opendata.gov.al — נקודת קצה 59 ASP.NET API בֵּינוֹנִי

API נקודות קצה: 59 פתח API מפרט: 200 KB, נגיש לציבור בקרת גישה: אין (ציבורי בתכנון)

פורטל הנתונים הפתוחים הלאומי של אלבניה חושף ASP.NET API מתועד במלואו עם מפרט 200 KB OpenAPI בכתובת /api/specification.json. מערכי נתונים כוללים: 400 מרכזי בריאות עם מיקומים (AKC, רישום עסקי, 2,2 מרקחת עסקים, 2. 2025–2026 (לפי צורה משפטית, בעלות ואזור), רישום חובות לאומי, 900 חלוקות יומיות של האוצר, נתוני השקעות ציבוריות וסטטיסטיקות של פלטפורמת e-Albania מ-2013 עד 2024. כל מדריכי הקשר של המוסדות הממשלתיים כלולים, כולל כתובות, מספרי טלפון ואימיילים עבור AKSHI, משרד האוצר ומשרד החינוך. ה-API מיועד לציבור, אך המפרט המקיף OpenAPI ועומק הנתונים הפיננסיים הממשלתיים מחייבים תשומת לב.

ערכות נתונים זמינות

מערך נתונים	מָקוֹר	כֶּרֶך
מרכזי בריאות	אקשי	400 מרכזים עם GPS
בתי מרקחת ותרופות	אקשי	2,289 רשומות
מרשם עסקים (טופס משפטי)	QKB	2025 + 2026 נתונים
מרשם עסקים (בעלות)	QKB	2025 + 2026 נתונים
מרשם עסקים (אזור)	QKB	2025 + 2026 נתונים
מרשם החובות הלאומי 2024	משרד האוצר	4 קבצים רבעוניים
נתוני משרד האוצר	משרד האוצר	900 הפצות יומיות
השקעות ציבוריות	משרד האוצר	נתונים חודשיים
e-Albania Statistics 2023	אקשי	12 דוחות חודשיים
e-Albania Users 2013–2024	אקשי	סטטיסטיקת רישום שנתית
זרימת דואר בשדה התעופה 2025	תעופה אזרחית	סטטיסטיקה חודשית

סריקה רחבה יותר של ממשלת אלבניה

17 תחומים ממשלתיים אלבניים נחקרו בשלב פברואר 2026. הרוב מוקשחים: Incapsula WAF, תגובות 403/404, אין לוחות ניהול נגישים. ספירת שקיפות תעודה של .gov.al מרחב דומיינים באמצעות crt.sh יצר 832 דומיינים והרחיב את ספירת התת-דומיין הידועה של AKSHI מ-50 (ינואר) ל-110 (פברואר), וחושפת את Jira, Rancher, Wiki וסביבות בדיקה פנימיות - הכל מאחורי [[ZXQ1QXZ] פנימי בלבד]], לא נגישות מהאינטרנט.

תְחוּם	תוֹצָאָה	יֵשׁוּת
e-albania.al	200 (מוקשה)	פלטפורמת ממשל אלקטרוני מרכזי
akshi.gov.al	WordPress, WAF	סוכנות ה-IT הלאומית
parlament.al	React SPA - API פתוח	הפרלמנט האלבני
kryeministria.al	אינקפסולה WAF	משרד ראש הממשלה
president.al	403 אסור	לשכת הנשיא
bankofalbania.org	403 אסור	הבנק המרכזי
klsh.org.al	WordPress, 401 מוקשה	מוסד הביקורת העליון
pp.gov.al	לְמַטָה	התביעה הכללית
policia.al	לְמַטָה	משטרת המדינה
mbrojtja.gov.al	לְמַטָה	משרד הביטחון
financat.gov.al	לְמַטָה	משרד האוצר
drejtesia.gov.al	אינקפסולה WAF	משרד המשפטים
arsimi.gov.al	אינקפסולה WAF	משרד החינוך
tatime.gov.al	לְמַטָה	רשות המסים
dogana.gov.al	לְמַטָה	רשות המכס
dpshtrr.gov.al	415 (רישום רכב)	רישוי נהיגה
instat.gov.al	404 (נקי)	מכון סטטיסטיקה

ארבעה פורטלי GIS התגלו באמצעות crt.sh ספירה: geoportal.asig.gov.al (גיאופורטל לאומי), instatgis.gov.al (סטטיסטיקה WebGIS), webgis.arrsh.gov.al (רשות הדרכים), ו webgis.atp.gov.al (תכנון שטח). אף אחת מהן לא חושפת נקודות קצה נגישות לנתוני GeoServer או WFS - כולם יישומים חזיתיים בלבד.

ארגונים עם פשרות

parlament.al - הפרלמנט האלבני (קוונדי)

הזרוע המחוקקת של אלבניה - Azure OData API (kuvendiapi.azurewebsites.net)

חשיפה: לא מאומת API, אפס בקרות גישה PII: 236 חברי פרלמנט - שם מלא, DOB, מקום לידה, אימייל, מסיבה, מחוז, תמונה מסמכים: 54,545 קבצי Azure Blob ציבוריים (32K+ קובצי PDF, דפי שכר, יומני FOIA, תקציבים) נתונים שנאספו: 103 MB API נתונים + 137 MB מסמכים

AKSHI - הסוכנות הלאומית לחברת מידע

סוכנות ה-IT של ממשלת אלבניה - בונה של Diella AI, מפעילת GOVnet ו-e-Albania

סוג פשרה: מעצר פלילי של מנהיגות (דצמבר 2025) תְחוּם: מנכ"ל + סגן במעצר בית בגין מניפולציות במכרז הערכת BIRN: "לכידת AKSHI על ידי אינטרסים פליליים מסכנת את הביטחון הלאומי" הפרה קודמת: התקפת HomeLand Justice של איראן (2022) - פשרה מלאה של מערכת AKSHI

opendata.gov.al - פורטל נתונים פתוחים לאומי

פלטפורמת נתונים פתוחים של ממשל אלקטרוני אלבני

חשיפה: 59 נקודות קצה ASP.NET API, פורסם מפרט פתוחAPI נְתוּנִים: רישומי עסקים, מרכז בריאות GPS, רישומי תרופות, הפצות אוצר פֶּתֶק: מיועד לציבור; העומק וההיקף מצדיקים ניטור

הקשר היסטורי: עשור של חשיפה

חשיפת הפרלמנט API לא קיימת בנפרד. אלבניה נפגעה באופן שיטתי בכל שכבה של התשתית הדיגיטלית שלה בחמש השנים האחרונות.

תַאֲרִיך	תַקרִית	סוּלָם
אפריל 2021	מאגר בוחרים דלף	910,000 רשומות (כ-33% מהאוכלוסייה)
דצמבר 2021	מאגר שכר דלף (וואטסאפ)	637,138 רשומות (22% מהאוכלוסייה)
מאי 2021	איראן HomeLand Justice זוכה בגישה ראשונית ל-AKSHI	14 חודשים התמדה שקטה
יולי 2022	התקפה הרסנית: תוכנת כופר ROADSWEEP + מגב ZeroClare	אלבניה מאלצת שירותי ממשלה במצב לא מקוון
ספטמבר 2022	אלבניה מנתקת את הקשרים הדיפלומטיים עם איראן	נאט"ו מגנה את המתקפה
אוקטובר 2022	המשטרה חושדת שמאגר מידע דלף באמצעות טלגרם	~100,000 רשומות, 1.7 GB
דצמבר 2023	פרלמנט + טלקום אלבניה אחד הותקף	2 פטה-בייט טענו שהושמדו
ינואר 2024	מכון הסטטיסטיקה INSTAT נפרץ	100+ שחפת נטען שהוצאו
ספטמבר 2025	דילה מינתה לשר בינה מלאכותית	—
דצמבר 2025	מנכ"ל AKSHI נעצר על שחיתות	12 מכרזים בבדיקה
פברואר 2026	הפרלמנט API נמצא פתוח - החקירה הזו	54,545 מסמכים, 236 חברי פרלמנט PII

הקבוצה בחסות המדינה האיראנית HomeLand Justice (MITRE ATT&CK C0038, מיוחס על ידי ה-FBI, CISA, NATO ו-NCSC של בריטניה למשרד המודיעין והביטחון של איראן) הפר את AKSHI על ידי ניצול CVE-2019-0604 (Microsoft SharePoint). הגישה הראשונית הוקמה במאי 2021 - ארבעה עשר חודשים לפני המתקפה ההרסנית שהושקה ביולי 2022. במהלך אותו חלון, גנב המידע CHIMNEYSWEEP הסתנן נתונים מהסוכנות שתבנה מאוחר יותר את שר הבינה המלאכותית של אלבניה.

ניתוח צדק של HomeLand היסטוריית הפרות מלאה

מלאי נתונים

אוסף כולל: 251 מגה-בייט על פני 1,309 קבצים, שוחזר מנקודות קצה נגישות לציבור ולא מאומתות וכתובות URL של Azure Blob Storage.

הפרלמנט API - MP Records (anetaret.json)236 חברי פרלמנט, מלא PII, 138 KB

נוֹף

הפרלמנט API - קטלוג מסמכים (dokumentet.json)54,545 כתובות אתרים של מסמכים עם מטא נתונים, 30 MB

נוֹף

הפרלמנט API - חוק חקיקה (aktet.json)קטלוג חקיקה מלא, אינטרפלציות, 3.1 מגה

נוֹף

גיליונות אלקטרוניים של XLSX - משכורות והטבות של MP372 גיליונות אלקטרוניים, 2018–2020 חודשי, 44 מגה-בייט

נוֹף

רשימת תת-דומיינים של AKSHI110 תת-דומיינים מסופרים מ-crt.sh

נוֹף

פתח את פורטל הנתונים API מפרט200 KB מפרט פתוחAPI, 59 נקודות קצה

נוֹף

OSINT מתודולוגיה והודעה משפטית

כל הנתונים בחקירה זו שוחזרו באמצעות טכניקות פסיביות ואקטיביות OSINT שהוחלו על נקודות קצה API נגישות לציבור ובלתי מאומתות וכתובות URL של Azure Blob Storage. שום אימות לא עקף. לא נבדקו או השתמשו באישורים. שום בקרות גישה לא עקפו. API של הפרלמנט האלבני הגיב לבקשות GET סטנדרטיות HTTP מבלי לדרוש כל צורה של זיהוי או אסימון.

דוח זה עוקב אחר המתודולוגיה הסטנדרטית של ODINT: תשתית הפונה לציבור מונה, מתועדת ומדווחת. PII שנאסף מ-APIs פתוח מוצג בצורה מצטברת או ערוכה. רשומות גולמיות PII מוחזקות בגישה מוגבלת ואינן מתפרסמות בפומבי. גישה למערכי נתונים מוגבלים עשויה להינתן לעיתונאים, חוקרים וגופים ממשלתיים מושפעים על פי בקשה.

תקופת המחקר: 25 בינואר 2026 (שלב 1: OSINT) - 25 בפברואר 2026 (שלב 2: איסוף נתונים פעיל). פורסם: 17 באפריל 2026. ODINT הוא מצפה תשתיות דיגיטלי עצמאי ללא מטרות רווח.