סטטיסטיקת מסע פרסום
שתי פעולות במקביל OSINT - Crystal Vault (ספירה פדרלית API) וא קמפיין חשיפה .git - נגד תשתיות ממשלת מקסיקו, אקדמיה, תקשורת ותשתיות ברמת המדינה הביאו את התוצאות המצטברות הבאות.
64 ג'יגה-בייט
שיקוף נתונים פדרלי
17
ערכות אישורים חיים
186 מיליון+
שיאים משוערים
177
סוכנויות פדרליות נחשפו
520K+
רשומות קריטיות PII
37+
זהויות מפתחים
7
Git Repos התגלה
4,968
Gravatar גיבוב
דוח הערכה אינטראקטיבי מלא
חקור את הערכת התשתית המלאה של ממשלת מקסיקו עם תרשימים אינטראקטיביים ופירוטים מפורטים.
צפה בדוח
פקודת סלסול אחת
זה התחיל עם קו בודד בטרמינל.
curl -s https://repodatos.atdt.gob.mx/api_update/
התגובה לא הייתה טעות. זה לא היה דף התחברות. זה היה א רשימה של 177 סוכנויות פדרליות - כל מערך נתונים שמתפרסם על ידי כל משרד, רגולטור וגוף ציבורי המחוברים לפלטפורמת הנתונים הפתוחים הלאומית של מקסיקו.
ATDT - ה Agencia de Transformación Digital y Telecomunicaciones (הסוכנות לטרנספורמציה דיגיטלית וטלקומוניקציה) - היא זרוע הטכנולוגיה הריכוזית של ממשלת מקסיקו. הוא מנהל את מאגר הנתונים הפדרלי ב repodatos.atdt.gob.mx, פלטפורמה שנועדה לצבור ולהפיץ מערכי נתונים מכל הרשות המבצעת. ה-API שלח בשידור חי. נקודות הקצה צורפו לאינדקס. לא היה אימות, לא הגבלת קצב, לא בקרות גישה מכל סוג שהוא.
כל תיקיית סוכנות הכילה מטא נתונים מובנים, קישורים ישירים לקובצי CSV, ובמקרים רבים מפות מלאות API המתארות כל נקודת קצה ופרמטר זמינים. מה שאמור היה להיות פלטפורמת הפצת נתונים מבוקרת היה, בפועל, ארון תיוק פתוח שהמנעול הוסר.
לא נדרשו אישורים. לא נעשה שימוש בניצול. שום תנאי שירות לא עקפו. ה-API היה ציבורי בתכנון - או ברשלנות. התוצאה הייתה זהה.
היעדים נפגעו
שבעה יעדים ברחבי הממשל הפדרלי, ממשלת המדינה, האקדמיה, הבחירות והתקשורת נפגעו באמצעות שני וקטורים: גישה לא מאומתת API וחשופה .git/ ספריות על שרתי ייצור.
repodatos.atdt.gob.mx
פדרלי API - Agencia de Transformación Digital y Telecomunicaciones
וֶקטוֹר: אין צורך באימות
נְתוּנִים: 64 GB, 177 סוכנויות
רשומות: 186 מיליון+ מוערך
סטָטוּס: עדיין חי
uaem.mx
אוניברסיטה - Universidad Autónoma del Estado de Morelos
וֶקטוֹר: חשיפה .git
אישורים: 2 (MySQL + SMTP)
נְתוּנִים: 960 מגה-בייט, 11,605 קבצים
ieeq.mx
אלקטורלי מדינה - Instituto Electoral del Estado de Querétaro
וֶקטוֹר: חשיפה .git
אישורים: 4 (PostgreSQL + 2 MySQL)
נְתוּנִים: מטא נתונים של Git + אישורים
ss.puebla.gob.mx
בריאות המדינה - משרד הבריאות הממלכתי של פואבלה
וֶקטוֹר: חשיפה .git
אישורים: 1 (MySQL) + סוד ג'ומלה
נְתוּנִים: WordPress/תצורת ג'ומלה
elsiglodetorreon.com.mx
עיתון - El Siglo de Torreón
וֶקטוֹר: חשיפה .git
אישורים: 8 MySQL + SMTP + אסימונים
נְתוּנִים: מקור יישום מלא
fiscalia.durango.gob.mx
תובע המדינה - משרד התובע של המדינה דורנגו
וֶקטוֹר: חשיפה .git
אישורים: 0 (wp-config gitignored)
נְתוּנִים: Git metadata, IP פנימי
mvs.com
Media Corp - Grupo MVS
וֶקטוֹר: חשיפה .git
אישורים: 0
נְתוּנִים: 13 קבצים, מפת מבנה ארגוני
מערכי נתונים קריטיים PII
הפדרלי API ב repodatos.atdt.gob.mx הגישו מערכי נתונים המכילים מידע אישי מזהה עבור כ-186 מיליון+ רשומות. מערכי הנתונים הבאים מייצגים את החשיפות הרגישות ביותר, מאורגנות לפי חומרה.
רשומות: ~60,000,000
גוֹדֶל: 12.3 ג'יגה-בייט
נתוני רישום לידה מלאים עבור האוכלוסייה המקסיקנית. מכיל מזהים אישיים לאורך עשרות שנים של רישום אזרחי. מערך הנתונים הגדול ביותר PII באוסף.
CURP: [REDACTED] שם: [REDACTED] DOB: 1985-03-15 מדינה: Jalisco
CURP: [REDACTED] שם: [REDACTED] DOB: 1992-08-22 מדינה: CDMX
קצוץ: [מודח] שם: [מועד] תעודה: 2001-11-07 מדינה: נואבו לאון
רשומות: ~25,000,000
גוֹדֶל: 6.1 ג'יגה-בייט
נתוני רישום מוות מלאים. בשילוב עם רישומי לידה, מיפוי זהות מלא של מחזור החיים של אזרחים מקסיקנים שנפטרו - מערך נתונים בעל ערך גבוה להונאת זהות.
CURP: [REDACTED] שם: [REDACTED] DOD: 2019-06-11 סיבה: [REDACTED]
CURP: [REDACTED] שם: [REDACTED] DOD: 2021-01-23 סיבה: [REDACTED]
CURP: [REDACTED] שם: [REDACTED] DOD: 2022-09-05 סיבה: [REDACTED]
רשומות: ~6,000,000
גוֹדֶל: 1.7 ג'יגה-בייט
CURP (מפתח זהות לאומי), RFC (מזהה מס), שמות מלאים ומספרי טלפון לאנשי מרכז חינוך ואנשי קשר ברחבי מקסיקו.
CURP: [REDACTED] RFC: [REDACTED] שם: [REDACTED] טלפון: 33-XXXX-XXXX
CURP: [REDACTED] RFC: [REDACTED] שם: [REDACTED] טלפון: 81-XXXX-XXXX
CURP: [REDACTED] RFC: [REDACTED] שם: [REDACTED] טלפון: 55-XXXX-XXXX
רשומות: 464,153
גוֹדֶל: 69 מגה-בייט
RFC (מזהה מס) + שמות מלאים + כתובות פיזיות + מספרי טלפון + כתובות אימייל. ה-RFC שווה ערך ברגישות למספר תעודת זהות בארה"ב. חשיפת זהות מלאה עבור כל אדם ברשימה.
RFC: XXXX800101XX1 שם: [REDACTED] טלפון: 55-XXXX-XXXX
RFC: XXXX750315XX2 שם: [REDACTED] דוא"ל: [REDACTED]@gmail.com
RFC: XXXX910422XX3 שם: [REDACTED] Addr: [REDACTED], CDMX
רשומות: ~100,000
גוֹדֶל: 22 מגה-בייט
מרשם האנשים המקבלים טיפול אנטי-רטרו-ויראלי. מידע בריאותי מוגן מהקטגוריה הרגישה ביותר - חשיפה יוצרת סיכון לאפליה, אלימות ונזק חברתי.
זיהוי מטופל: [מודח] טיפול: מצב אנטי-רטרו-ויראלי: פעיל
זיהוי מטופל: [מודח] טיפול: מצב אנטי-רטרו-ויראלי: פעיל
זיהוי מטופל: [מודח] טיפול: מצב אנטי-רטרו-ויראלי: לא פעיל
רשומות: ~2,000,000
גוֹדֶל: 424 מגה-בייט
נתוני מקרי פשיעה לאומיים בחלוקה לפי עירייה. סטטיסטיקות פשיעה מפורטות בכל המדינות והעיריות במקסיקו ממערכת הביטחון הלאומית של הציבור.
עירייה: [עריכה] סוג: Homicidio Doloso שנה: 2023 ספירה: 47
עירייה: [עריכה] סוג: רובו א רכב שנה: 2023 ספירה: 312
עירייה: [עריכה] סוג: Secuestro שנה: 2022 ספירה: 8
רשומות: ~50,000+
מרשם הקורבנות הפדרלי מנוהל על ידי הוועדה המבצעת לסיוע לקורבנות (CEAV). מכיל רישומים של אנשים הרשומים כקורבנות פשע ברמה הפדרלית.
מזהה קורבן: [מוכן] פשע: Desaparicion Forzada מדינה: Tamaulipas
זיהוי הקורבן: [מוכן] פשע: רצח מדינה: גררו
זיהוי הקורבן: [מוכן] פשע: סחיטה מדינה: Jalisco
רשומות: ~700,000
גוֹדֶל: 175 מגה-בייט
אירועי הגירה לא סדירים שתועדו על ידי רשויות ההגירה המקסיקניות. החשיפה מסכנת אוכלוסיות מהגרים פגיעות וחושפת דפוסי אכיפה.
מזהה אירוע: [REDACTED] אזרחות: מסלול הונדורס: [REDACTED] שנה: 2023
מזהה אירוע: [REDACTED] אזרחות: מסלול גואטמלה: [REDACTED] שנה: 2022
מזהה אירוע: [REDACTED] אזרחות: מסלול ונצואלה: [REDACTED] שנה: 2023
רשומות: ~1,300,000
גוֹדֶל: 257 מגה-בייט
רישומי עיבוד הגירה, כולל בקשות לויזה, אישורים והליכים מנהליים בכל משרדי ההגירה המקסיקניים.
Tramite: [REDACTED] סוג: Visa Temporal Office: CDMX סטטוס: Aprobado
Tramite: [מודח] סוג: Residencia Permanente Office: Cancun סטטוס: En Proceso
Tramite: [מודח] סוג: Permiso Trabajo משרד: טיחואנה סטטוס: Aprobado
רשומות: ~4,500,000
גוֹדֶל: 907 מגה-בייט
נתוני רכש פדרליים, כולל שמות ספקים, ערכי חוזה בקירוב 130 מיליארד דולר, ודפוסי רכישה ממשלתיים בכל הסוכנויות הפדרליות.
חוזה: [REDACTED] ספק: [REDACTED] S.A. de C.V. ערך: $2,450,000 MXN
חוזה: [REDACTED] ספק: [REDACTED] S.A. de C.V. ערך: $18,700,000 MXN
חוזה: [REDACTED] ספק: [REDACTED] S.A. de C.V. ערך: $890,000 MXN
רשומות: 809
שמות מלאים, מטלות סוכנות ופרטי סנקציות עבור פקידים פדרליים שנמצאו רשמית מושחתים או מפרים את תקנות השירות הציבורי. כולל את אמיליו לוזויה אוסטין (PEMEX/Odebrecht).
שם: [מודח] סוכנות: PEMEX סנקציה: אי-הובלה משך: 10 שנים
שם: [מוכן] סוכנות: CFE סנקציה: Destitucion משך: קבוע
שם: [ערוך] סוכנות: IMSS סנקציה: משך ההשעיה: 3 שנים
רשומות: 1,396
רישום מלא של נוטריונים פדרליים כולל שמות מלאים, מספרי רישיונות וכתובות משרד מלאות. נוטריונים הם יעדים בעלי ערך גבוה לפשע מאורגן המבקש לתת לגיטימציה לרכישת רכוש או לזייף מסמכי תאגיד.
רישיון: [מוכן] שם: Lic. [מוכן] משרד: Av. [מוכן], CDMX
רישיון: [מוכן] שם: Lic. [מוכן] משרד: Blvd. [עריכה], מונטריי
רישיון: [מוכן] שם: Lic. משרד: Calle [REDACTED], גוודלחרה
SAT - 464,153 משלמי מסים
ה Servicio de Administración Tributaria (SAT) - רשות המסים של מקסיקו - הייתה המקור הגדול ביותר של מידע אישי מזהה באוסף. חמישה מערכי נתונים בסך הכל 69 מגה-בייט של נתונים מובנים חשפו את רישומי המס של כמעט חצי מיליון אנשים וארגונים.
SAT_1_Donatarias
10,798 רשומות
ארגוני צדקה מורשים עם RFC + שם חוקי + טלפון + דוא"ל + כתובת פיזית + נציג משפטי. רישום מלא של כל ישות במקסיקו המורשית לקבל תרומות הניתנות לניכוי מס.
SAT_3_Sentencias
311 רשומות
הרשעות מס - אנשים עם RFC שקיבלו גזר דין שיפוטי סופי בגין פשעי מס.
SAT_4_Nolocalisados
39,453 רשומות
משלמי מסים שאינם ממוקמים - יחידים וגופים עם שמות RFC + ש-SAT לא הצליחה לאתר פיזית למטרות אכיפה.
SAT_5_Firmes
177,807 רשומות
חובות מס סופיים - יחידים וגופים עם RFC + שמות מלאים הנושאים חבות מס מאושרת, שאינה ניתנת לערעור.
SAT_7_Cancelados
120,276 רשומות
סטטוס מס בוטל - RFC + שמות של נישומים שהרשמתם הפיסקלית בוטל רשמית על ידי SAT.
464,153 נישומים. שמות, מזהי מס, כתובות, מספרי טלפון. הוגש כ-CSV שטוח מ-API לא מאומת. פקודת סלסול אחת לכל קובץ.
חשיפת שכר UAEM
החשיפה .git ב uaem.mx (Universidad Autónoma del Estado de Morelos) שחזר 11,605 קבצים בהיקף כולל של 960 MB של קוד מקור ייצור, כולל מסדי נתונים של סטודנטים PII, ספריות עובדים ו נתוני שכר מלאים. קבצי השכר חושפים פיצוי דו שבועי בסכום כולל של למעלה מ-60 מיליון דולר MXN לתקופה (נתוני 2019).
אמון / ניהול
18 מיליון דולר MXN
בסיס מאוגד
8.2 מיליון דולר MXN
מאוגד בסופו של דבר
1.5 מיליון דולר MXN
גמלאים / גמלאים
$900K MXN
סך הכל לתקופה דו שבועית
>60 מיליון דולר MXN
חומר משוחזר נוסף מ-UAEM כולל: מסד נתונים של סטודנטים PII (SOLICITUD_CONSTANCIAS טבלה עם שמות מלאים, מיילים, תעודות סטודנטים, ציונים ומגמות), ספריות עובדים, ספריית טלפונים של IT, מערכת עיבוד תשלומים, מערכת הצבעה אלקטרונית, מערכת רישיונות מקצועית, מערכת יצירת תארים ותצורת אפאצ'י מלאה עם כללי ניתוב. היזם היחיד - רפאל פרגוסו ([email protected], GitHub: norgoth) - הייתה בעלת גישת שורש ונפרסה ישירות לייצור.
SFP - 809 פקידים מוסמכים
ה Secretaría de la Función Pública (SFP) - משרד המינהל הציבורי של מקסיקו - מנהל את הרישום הרשמי של פקידי ממשל מוגנים. מערך הנתונים שנחשף באמצעות ATDT הכיל 809 רשומות של עובדים פדרליים שקיבלו סנקציות רשמיות בגין שחיתות, התנהגות בלתי הולמת או הפרות מנהליות.
כל רישום כלל את שמו המלא של הפקיד, הסוכנות בה שירת, סוג הסנקציה שהוטלה ומשך פסילתו משירות ציבורי. הסנקציות נעו בין השעיות זמניות לאיסור קבוע מהעסקה ממשלתית.
בין השמות: אמיליו לוזויה אוסטין, לשעבר מנכ"ל של PEMEX (Petróleos Mexicanos), חברת הנפט הממשלתית של מקסיקו. לוזויה הייתה במרכז שערוריית אודברכט - מבצע שוחד חובק יבשות שבו שילם קונצרן הבנייה הברזילאי 10.5 מיליון דולר בשוחד להבטיח חוזים עם PEMEX. לוזויה נעצר בספרד ב-2020, הוסגר למקסיקו, והפך לעד משתף פעולה שעדותו השפיעה על נשיאים לשעבר ובכירים.
רשימת הסנקציות של SFP היא, במהותה, רישום ציבורי של כל פקיד פדרלי שממשלת מקסיקו מצאה רשמית מושחתת. זה שהוגש ללא אימות מ-API פתוח תואם את הדפוס בכל פלטפורמת ATDT: נתונים הנושאים השלכות אמיתיות על אנשים אמיתיים, מטופלים כאילו היו פיד מזג אוויר.
INDAABIN - 1,396 נוטריונים פדרליים
ה Instituto de Administración y Avalúos de Bienes Nacionales (INDAABIN) - המכון הפדרלי האחראי על הערכת שווי וניהול נכסים לאומיים - תרם את אחד ממערכי הנתונים היותר יוצאי דופן באוסף: רישום מלא של 1,396 נוטריונים פדרליים.
כל רשומה הכילה את שמו החוקי המלא של הנוטריון, מספר הרישיון, כתובת המשרד ותחום השיפוט. נוטריונים פדרליים במקסיקו הם שחקנים קריטיים בעסקאות נכסים, התאגדויות עסקיות ואישורים משפטיים. זהותם ומיקומם אינם מפורסמים בפומבי ברמת הפירוט הזו - או שהם לא היו אמורים להיות.
חשיפת רישום נוטריון שלם יוצרת פרופיל סיכון ספציפי. נוטריונים הם יעדים לכפייה מצד קבוצות פשע מאורגן המבקשות לתת לגיטימציה לרכישת רכוש, לזייף מסמכי תאגיד או להלבין כספים באמצעות נדל"ן. רשימה מרוכזת של כל נוטריון פדרלי, כתובות משרדיו ומספרי הרישיונות אינה רק אי נוחות ניהולית - היא מפה תפעולית לכל מי שמבקש לסכן את המערכת הנוטריונית של מקסיקו.
קמפיין חשיפה של Git
קמפיין חשיפה מקביל .git התאושש 17 ערכות אישורים חיים מ-6 דומיינים מקסיקנים, חשופים 37+ זהויות מפתחים, והתאושש כמעט 1 GB של קוד מקור ייצור מאוניברסיטה ציבורית גדולה. שבעה מאגרי Git התגלו על פני GitHub, GitLab, Bitbucket ומופעים פנימיים של Gitea.
ערכות האישורים משתרעות על פני מכון בחירות ממלכתי (תשתית בחירות), מחלקת בריאות ממלכתית, אוניברסיטה גדולה עם סטודנטים PII, ועיתון גדול. זוהו שלושה כתובות IP חיצוניות עם שירותי מסד נתונים הניתנים לחיבור: 104.45.237.221 (Azure, IEEQ), 187.191.76.50 (IEEQ comms), ו 52.117.172.166 (IBM Cloud, El Siglo). כל האישורים נמצאו בקוד מקור מחויב, מה שמצביע על כשל מערכתי בשימוש במשתני סביבה או בניהול סודות במוסדות מקסיקו.
משרד התובע של מדינת דורנגו (fiscalia.durango.gob.mx) מריץ הגשת התקנה אחת של WordPress 24 אתרי אינטרנט של סוכנות ממשלתית כולל Fiscalia, DIF, חינוך, בריאות, ביטחון ציבורי, הגנה אזרחית ו-SIPINNA (רווחת הילד). זה מריץ את RevSlider עם CVE-2022-0441 (CVSS 9.8, מעקף אימות) ו CVE-2014-9734 (הכללת הקובץ). לא מותקנים תוספי אבטחה. XML-RPC מופעל.
נתונים גולמיים והורדות
כל הנתונים שנאספו הועברו לארכיון וזמינים עבור חוקרים, עיתונאים וארגוני חברה אזרחית דרך שרת הנתונים של ODINT.
Mexico V1 - אוסף מלא — 118 סוכנויות, 1,675 CSVs, API מפות, ערימות טכנולוגיות, מחקר
לְדַפדֵף
מקסיקו V1 / API מזבלות - תגובות גולמיות API מ-162 סוכנויות פדרליות
לְדַפדֵף
Mexico V1 / Tech Stacks - 313 ניתוחי ערימת טכנולוגיה
לְדַפדֵף
מקסיקו V1 / מחקר - קבצי מחקר וניתוח חקירות
לְדַפדֵף
דו"ח הערכה אינטראקטיבית — דוח אינטראקטיבי מלא HTML עם תרשימים ופירוטים
נוֹף
אישורים - אישורים חשופים ואסימוני אימות
לְדַפדֵף
חשיש - גיבוב סיסמה משוחזר וניתוח גיבוב
לְדַפדֵף
כספת - Fiscalia Durango - נתוני משרד התובע של מדינת דורנגו
לְדַפדֵף
כספת - ATDT RepoDatos - מזבלות של מאגר נתונים פדרלי
לְדַפדֵף
כספת - SS Puebla - נתוני משרד הבריאות הממלכתי של פואבלה
לְדַפדֵף
כספת - IEEQ - נתוני מכון הבחירות של מדינת Queretaro
לְדַפדֵף
כספת - UAEM - Universidad Autónoma del Estado de México
לְדַפדֵף
כספת - ITSM - Instituto Tecnológico Superior de Misantla
לְדַפדֵף
קמרון - אל סיגלו דה טורון — נתוני כלי חדשות מקסיקניים + API
לְדַפדֵף
כספת - MVS / Radio Centro - נתוני קונגלומרט מדיה מקסיקני
לְדַפדֵף
כספת - דוחות OSINT - ערכו דוחות מודיעיניים ממטרות כספות
לְדַפדֵף
כספת - יעדים - ספירת יעד וסריקת נתונים
לְדַפדֵף
כספת - יומנים - יומני יישומים ושרתים נלכדו
לְדַפדֵף
ממצאי אבטחה - גילויי פגיעות ותצורות שגויות
נוֹף
מילון מונחים HTML - דפי מילון מונחים ממשלתיים שנתפסו
לְדַפדֵף
README - תיעוד חקירה מלא
נוֹף
OSINT כתב ויתור
דוח זה מבוסס כולו על מודיעין בקוד פתוח (OSINT). אין גישה למידע מסווג. לא נעשה שימוש במקורות חסויים. לא נפרצו מערכות. שום מנגנוני אימות לא עקפו. כל הנתונים שהוזכרו בחקירה זו היו זמינים לציבור והוגשו ללא בקרות גישה בזמן האיסוף.
פלטפורמת ATDT ב repodatos.atdt.gob.mx הגיש את כל הנתונים באמצעות נקודות קצה HTTP לא מאומתות. לא נדרשו או השתמשו בסיסמאות, אסימונים או אישורים מכל סוג כדי לגשת למערכי הנתונים המתוארים בדוח זה.
הידור 2026 - סיווג: OSINT - קוד פתוח
מצפה לתשתית דיגיטלית ושקיפות רשת (ODINT)