קובה Cyber Tour
הערכת תשתית ארגונים ממשלתיים, צבאיים וממלכתיים - מהקונגלומרט של GAESA בשווי 18 מיליארד דולר ועד APIs דליפות נתונים לא מאומתים של אזרחים.
הצבא מנהל את הכלכלה. מיפינו את התשתית שהם שכחו לנעול.
על חקירה זו
הערכה דו-שלבית OSINT של תשתית ממשלת קובה. V1 (ינואר 2026) תיעד 131 .gob.cu תחומים ב-20 קטגוריות - נשיאות, משרדים, צבא, תקשורת ממלכתית, תשתיות, מערכת המשפט ומפעלי מדינה. V2 (מרץ 2026) התרחב ל-2,052 דומיינים באמצעות שקיפות אישורים וספירת DNS, וחשפה את טביעת הרגל הדיגיטלית של הקונגלומרט הצבאי GAESA, ספק תוכנה קטסטרופלי של נקודת כשל בודדת (Guajiritos S.R.L.) ו-[XZXX exploded]. אלפי רישומי תשלום עם הלקוח PII. כל הנתונים שהושגו באופן פסיבי באמצעות סיבוב רב-צמתים של Tor - ללא ניצול, ללא צורך באימות.
GAESA: הצבא מנהל גם את האינטרנט
GAESA (Grupo de Administración Empresarial S.A.) היא הקונגלומרט העסקי של הצבא הקובני, השולט על 40% מהכלכלה הלאומית וב-95% מהעסקאות במטבע חוץ. מתוך 42 חברות בנות שנבדקו, ל-34 יש אפס רשומות DNS - אטימות דיגיטלית כוללת. אבל 20% המקוונים חולקים ספק תוכנה יחיד, תעודת SSL יחידה וקבוצה אחת של APIs לא מאומתים. חברה אחת - Guajiritos S.R.L. - בונה ומתפעל את כל ה-IT התיירותי עבור 20+ חברות GAESA. פשרה של Guajiritos פירושה פשרה של כל תשתית הזמנת התיירות של קובה, מרינות צבאיות, תיירות רפואית וצי רכב שכור.
רשת התיירות GAESA
7 חברות, תעודת SSL אחת, שיתפו הכל
| חֶברָה | תְחוּם | תַפְקִיד |
|---|---|---|
| Havanatur S.A. | *.havanatursa.com | פלטפורמת הזמנות ראשית (12 API תת-דומיינים) |
| Grupo Cubanacan | *.grupocubanacan.com | קבוצת תיירות |
| Marinas Gaviota S.A. | *.marinasgaviotasa.com | מרינה צבאית / תיירות ימית |
| Cubanacan S.A. | *.cubanacansa.com | מפעיל תיירות |
| אוקאטורס | *.okaturs.com | מפעיל תיירות |
| CIS לה פראדרה | *.cislapradera.com | תיירות מרפא / מרכז בריאות בינלאומי |
| אופרטס נסיעות | *.ofertastravel.com | מפעיל תיירות |
ממצאים קריטיים
נתונים שנחשפו ללא אימות על פני תשתיות ממשלת קובה ותשתיות צבאיות
| מִמצָא | מָקוֹר | פְּגִיעָה |
|---|---|---|
| 31,684 רשומות תשלום עם הלקוח PII | GAESA תיירות APIs | 13,800+ אימיילים, 27,500+ מספרי טלפון |
| מלאי מלא של צי רכבים להשכרה | Havanatur API | 156 רכבים, תמחור, זמינות |
| 805 סניפי בנק עם GPS קואורדינטות | Banco Central API | מפת תשתית פיננסית מלאה |
| מערכת שערי חליפין משולשת חשופה | Banco Central API | תעריפים רשמיים, לא רשמיים וקריפטו |
| 5,313 רישומי תלמידים עם תעודות זהות | UCLV GitLab | מלא PII: שמות, מספרי CI, נתוני הרשמה |
| אישורי Laravel APP_KEY + DB | UCLV GitLab מתחייב | יכולת ביצוע קוד מרחוק |
| גיבוב סיסמא של Bcrypt | UCLV GitLab | סיכון לגניבת אישורים |
| הענקת סיסמה של OpenID Connect | מערכת אישור UCLV | נקודת קצה ישירה של אימות סיסמה |
| עובד ETECSA PII באישור SSL | שקיפות תעודות | דליפת נתונים פנים ארגוניים |
| WordPress ספירת משתמשים (14 חשבונות) | בריאות, חינוך, מדיה .gob.cu | Gravatar hashes, יעדי כניסה |
| קואורדינטות של מטה צבאי של MINFAR GPS | מטא נתונים ציבוריים | Avenida Independencia, La Habana 10400 |
| 12 מזהי Google Analytics מופו | אתרים ממשלתיים | מעקב חוצה אתרים ומיפוי מערכות יחסים |
אישורים וסודות
אישורים חשופים, גיבוב סיסמאות, מפתחות API ו-PII בשתי ההערכות
V1 - אוסף תשתיות ממשלתיות
131 דומיינים ב-20 קטגוריות - ינואר 2026
V2 - GAESA & Deep Infrastructure
2,052 דומיינים - קונגלומרט צבאי, אוניברסיטת GitLab, בנקאות APIs - מרץ 2026