Estatísticas de campanha
Uma investigação OSINT em duas fases — reconhecimento passivo em janeiro de 2026, seguido de enumeração API ativa e recolha de dados em 25 de fevereiro de 2026 — visando a infraestrutura digital do governo albanês produziu as seguintes conclusões.
Contexto: O ambicioso estado digital da Albânia
A Albânia passou a última década a construir uma das infra-estruturas governamentais digitais mais ambiciosas da Europa Oriental. A Agência Nacional para a Sociedade da Informação — AKSHI (Agjencia Kombëtare e Shoqërisë së Informacionit) — gerencia uma rede que conecta 220 instituições governamentais, hospeda 380 sites governamentais, fornece mais de 600 serviços eletrônicos para cidadãos e mantém um CSIRT dedicado para operações de segurança cibernética. A Albânia foi classificada 14º globalmente no GovTech Maturity Index 2025 e recebeu o reconhecimento da ONU como modelo para a transformação digital.
O país também é membro da NATO e procura ativamente a adesão à UE, com uma data de adesão prevista para 2030. Bruxelas tem identificado consistentemente a corrupção como o principal obstáculo. A resposta da Albânia, em Setembro de 2025, foi nomear o primeiro ministro da IA do mundo.
Diella – nomeado a partir da palavra albanesa para “sol” – é um sistema de IA desenvolvido pela AKSHI usando Microsoft Azure e OpenAI. O primeiro-ministro Edi Rama nomeou-a Ministra de Estado da Inteligência Artificial com uma missão declarada: “Os concursos públicos serão 100 por cento livres de corrupção.” Em Outubro de 2025, Rama anunciou que Diella estava “grávida de 83 assistentes digitais” que seriam atribuídos a cada membro do Parlamento do partido no poder para monitorizar as sessões legislativas.
"A agência que construiu a IA anticorrupção da Albânia era ela própria uma empresa criminosa. O seu diretor-geral e adjunto foram presos três meses após a nomeação de Diella, acusados de operar um grupo criminoso estruturado para manipular propostas governamentais."
A história
Esta investigação começou em janeiro de 2026 como reconhecimento passivo: mapeando a infraestrutura da AKSHI e Diella, identificando subdomínios através da transparência dos certificados, sondando sistemas voltados para o público. A conclusão inicial foi simples: a infra-estrutura do governo albanês estava, segundo os padrões regionais, bem protegida. WAFs nos domínios principais, WordPress API exigindo autenticação, sem credenciais expostas no pacote JavaScript front-end de Diella.
A avaliação mudou completamente em Fevereiro de 2026. Quando a enumeração se voltou para o Parlamento albanês – a instituição que os 83 “filhos” da IA de Diella deveriam monitorizar – surgiu uma imagem diferente. O Parlamento (parlament.al) oferece um aplicativo React de página única que, superficialmente, parecia um beco sem saída: ele retorna HTTP 200 para todos os caminhos, um clássico pega-tudo do SPA. Mas o pacote principal de JavaScript contou uma história diferente.
Extrair o pacote JS de 355 KB e executar a extração de string revelou um URL base API codificado: https://kuvendiapi.azurewebsites.net/api. A extração adicional de variáveis minificadas do webpack produziu sete nomes de entidades OData. Cada endpoint respondeu a solicitações GET não autenticadas. Sem tokens, sem limitação de taxas, sem controles de acesso de qualquer tipo.
Todo o backend do Parlamento albanês API estava totalmente aberto.
A ironia é profunda. A Diretora Geral da AKSHI, Mirlinda Karçanaj, e o seu vice foram presos em dezembro de 2025 – apenas três meses após a nomeação de Diella – acusados de dirigir um grupo criminoso estruturado dentro da mesma agência que construiu o ministro anticorrupção da IA. A SPAK (Estrutura Especial Anticorrupção da Albânia) identificou 12 procedimentos de concurso que foram sistematicamente manipulados. O Parlamento API estava aberto pelo menos desde janeiro de 2022. E Diella — integrada na plataforma e-Albania, com acesso a mais de 36.000 documentos governamentais — não viu nada disso.
Constatação crítica 1 - Parlamento albanês: não autenticado API
Abrir terminais API
| Ponto final | Registros | Tamanho | Contente |
|---|---|---|---|
| /anetaret | 236 | 138 KB | Registros MP – completos PII |
| /estruturação | — | 274 KB | Comissões parlamentares |
| /aktet | — | 3,1MB | Atos legislativos, interpelações |
| /lajmet | — | 19,8MB | Artigos de notícias parlamentares |
| /mbledhjet | — | 2,2MB | Registros de sessões e reuniões |
| /documento | 54.545 URLs | 30,2MB | Catálogo de documentos com URLs diretos do Azure Blob |
| /YouTube/pesquisar | — | 8 KB | Proxy de pesquisa de vídeo do YouTube |
| /abonimet | — | 401 | Apenas endpoint protegido |
MP PII exposto – 236 registros
Cada um dos 236 registros de membros do parlamento no /anetaret A resposta contém as seguintes informações de identificação pessoal:
- Nome legal completo (nome, nome do pai, sobrenome)
- Data de nascimento e local de nascimento
- Endereço de e-mail oficial (@parlament.al)
- Filiação partidária e distrito eleitoral
- URL da foto do perfil (hospedada no Azure Blob Storage)
- Links de mídia social (Facebook, Twitter/X, LinkedIn)
- Estatuto parlamentar ativo/inativo
Isto constitui um dossiê completo e estruturado sobre cada pessoa que atua na legislatura albanesa – incluindo identificadores pessoais, informações de contato e afiliações políticas. Os dados foram coletados sem que qualquer autenticação ou controle de acesso fosse contornado.
Armazenamento de Blobs do Azure — 54.545 documentos públicos
O /dokumentet endpoint retorna um catálogo de 30,2 MB JSON listando todos os documentos do arquivo parlamentar. Listagem de contêineres em kuvendiwebfiles.blob.core.windows.net/webfiles/ está desabilitado - mas cada URL é diretamente enumerável por meio da resposta API e todos os blobs individuais têm acesso de leitura pública habilitado.
| Tipo de arquivo | Contar |
|---|---|
| 32,627 | |
| JPEG/JPG | 18,289 |
| JFIF | 1,768 |
| DOCX | 885 |
| DOC | 397 |
| XLSX | 392 |
| png | 208 |
| XLS | 117 |
Entre os documentos recuperados: Planilhas salariais do deputado (DEPUTADO DA PAGA) e Registros de benefícios do MP (PERFITIME DEPUTETE) cobrindo 2018–2020 mensalmente; o Registro de lobista (Regjistri elektronik i Lobisteve); Registros de solicitação e resposta FOIA abrangendo 2018–2021; tabelas de despesas orçamentárias e dados de fundos de reserva pública; a Constituição da Albânia, o Código Eleitoral e a Lei do Estatuto dos Deputados; e relatórios anuais parlamentares de 2013 a 2019.
O pacote JavaScript também contém uma referência interna API codificada em http://134.0.63.165:5000/public — um endereço IP interno inacessível pela Internet pública, confirmando a existência de infraestrutura de back-end adicional além do que é exposto publicamente.
Descoberta Crítica 2 – Escândalo de Corrupção AKSHI
A ironia nos números
| O propósito declarado de Diella | Realidade |
|---|---|
| “Concursos públicos serão 100% livres de corrupção” | Liderança da AKSHI presa por manipulação de licitações |
| Ministro da IA lutará contra a corrupção para a adesão à UE | Diretor de agência é preso 3 meses após nomeação |
| Crianças com IA monitoram a atividade legislativa de cada deputado | Parlamento API aberto, zero autenticação, dados de todos os deputados expostos |
| Integrado em mais de 36.000 documentos governamentais | Documentos acessados por esta investigação sem credenciais |
Descoberta 3 - Análise de front-end Diella AI
A segurança técnica da infraestrutura frontend da própria Diella é, isoladamente, competente. Aplicativos Web estáticos do Azure, configuração injetada em tempo de execução, IAM adequado via Keycloak, infraestrutura interna segmentada. Mas as questões de segurança levantadas por Diella não são essencialmente técnicas: são institucionais. A agência que controla os dados de treino, o acesso ao sistema e os parâmetros operacionais de Diella foi comprometida por hackers estatais iranianos em 2022 e operou como uma empresa criminosa até dezembro de 2025. Como foi construída a Diella com dados de sistemas comprometidos? Quem monitorizou a IA anticorrupção enquanto os seus criadores manipulavam as propostas?
Descoberta 4 – Portal de Dados Abertos
Conjuntos de dados disponíveis
| Conjunto de dados | Fonte | Volume |
|---|---|---|
| Centros de Saúde | AKSHI | 400 centros com GPS |
| Farmácias e Medicamentos | AKSHI | 2.289 registros |
| Registro Comercial (Forma Legal) | QKB | Dados de 2025 + 2026 |
| Registro Comercial (Propriedade) | QKB | Dados de 2025 + 2026 |
| Registro Comercial (Região) | QKB | Dados de 2025 + 2026 |
| Cadastro Nacional da Dívida 2024 | Ministério das Finanças | 4 arquivos trimestrais |
| Dados do Tesouro | Ministério das Finanças | 900 distribuições diárias |
| Investimentos Públicos | Ministério das Finanças | Dados mensais |
| Estatísticas da e-Albânia 2023 | AKSHI | 12 relatórios mensais |
| Usuários da e-Albânia 2013–2024 | AKSHI | Estatísticas anuais de registro |
| Fluxo de correio do aeroporto 2025 | Aviação Civil | Estatísticas mensais |
Análise mais ampla do governo albanês
Dezessete domínios do governo albanês foram investigados durante a fase de fevereiro de 2026. A maioria é reforçada: Incapsula WAF, respostas 403/404, sem painéis de administração acessíveis. Uma enumeração de transparência de certificado do .gov.al o espaço de domínio via crt.sh produziu 832 domínios e expandiu a contagem de subdomínios conhecidos do AKSHI de 50 (janeiro) para 110 (fevereiro), revelando Jira, Rancher, Wiki e ambientes de teste internos - todos por trás apenas interno DNS, não acessível a partir da Internet pública.
| Domínio | Resultado | Entidade |
|---|---|---|
| e-albania.al | 200 (endurecido) | Principal plataforma de governo eletrônico |
| akshi.gov.al | WordPress, WAF | Agência Nacional de TI |
| parlament.al | Reagir SPA - API ABRIR | Parlamento Albanês |
| kryeministria.al | Incápsula WAF | Gabinete do Primeiro Ministro |
| president.al | 403 Proibido | Gabinete do Presidente |
| bankofalbania.org | 403 Proibido | Banco Central |
| klsh.org.al | WordPress, 401 endurecido | Instituição Suprema de Auditoria |
| pp.gov.al | ABAIXO | Procuradoria Geral |
| policia.al | ABAIXO | Polícia Estadual |
| mbrojtja.gov.al | ABAIXO | Ministério da Defesa |
| financat.gov.al | ABAIXO | Ministério das Finanças |
| drejtesia.gov.al | Incápsula WAF | Ministério da Justiça |
| arsimi.gov.al | Incápsula WAF | Ministério da Educação |
| tatime.gov.al | ABAIXO | Autoridade Tributária |
| dogana.gov.al | ABAIXO | Autoridade Aduaneira |
| dpshtrr.gov.al | 415 (registro de veículos) | Licenciamento de motorista |
| instat.gov.al | 404 (limpo) | Instituto de Estatística |
Quatro portais GIS foram descobertos através da enumeração crt.sh: geoportal.asig.gov.al (geoportal nacional), instatgis.gov.al (estatísticas WebGIS), webgis.arrsh.gov.al (Autoridade Rodoviária), e webgis.atp.gov.al (Planejamento Territorial). Nenhum expõe endpoints de dados GeoServer ou WFS acessíveis – todos são aplicativos somente frontend.
Organizações com compromissos
Contexto histórico: uma década de exposição
A exposição do Parlamento API não existe isoladamente. A Albânia tem sido sistematicamente comprometida em todas as camadas da sua infraestrutura digital nos últimos cinco anos.
| Data | Incidente | Escala |
|---|---|---|
| Abril de 2021 | Vazamento de banco de dados de eleitores | 910.000 registros (∼33% da população) |
| Dezembro de 2021 | Vazamento de banco de dados de salários (WhatsApp) | 637.138 registros (22% da população) |
| Maio de 2021 | Justiça iraniana da pátria obtém acesso inicial ao AKSHI | 14 meses de persistência silenciosa |
| Julho de 2022 | Ataque destrutivo: ransomware ROADSWEEP + limpador ZeroCleare | Albânia força serviços governamentais offline |
| Setembro de 2022 | Albânia rompe relações diplomáticas com o Irão | A OTAN condena o ataque |
| Outubro de 2022 | Polícia suspeita que banco de dados vazou via Telegram | ∼100.000 registros, 1,7 GB |
| Dezembro de 2023 | Parlamento + Uma empresa de telecomunicações da Albânia atacada | 2 petabytes alegadamente destruídos |
| Janeiro de 2024 | Instituto de estatísticas INSTAT violado | Mais de 100 TB reivindicados como exfiltrados |
| Setembro de 2025 | Diella nomeada Ministra de IA | — |
| Dezembro de 2025 | Diretor Geral da AKSHI preso por corrupção | 12 concursos em investigação |
| Fevereiro de 2026 | Parlamento API considerado aberto - esta investigação | 54.545 documentos, 236 deputados’ PII |
O grupo patrocinado pelo Estado iraniano HomeLand Justiça (MITRE ATT&CK C0038, atribuído pelo FBI, CISA, OTAN e UK NCSC ao Ministério de Inteligência e Segurança do Irã) violou o AKSHI explorando CVE-2019-0604 (Microsoft SharePoint). O acesso inicial foi estabelecido em maio de 2021 – quatorze meses antes do ataque destrutivo lançado em julho de 2022. Durante esse período, o infostealer CHIMNEYSWEEP exfiltrou dados da agência que mais tarde construiria o ministro de IA da Albânia.
Inventário de dados
Coleção total: 251 MB em 1.309 arquivos, recuperado de pontos de extremidade não autenticados e acessíveis publicamente e de URLs do Armazenamento de Blobs do Azure.
OSINT Metodologia e Aviso Legal
Todos os dados nesta investigação foram recuperados por meio de técnicas OSINT passivas e ativas aplicadas a pontos de extremidade API publicamente acessíveis e não autenticados e URLs de Armazenamento de Blobs do Azure. Nenhuma autenticação foi ignorada. Nenhuma credencial foi testada ou usada. Nenhum controle de acesso foi contornado. O API do Parlamento albanês respondeu às solicitações GET padrão HTTP sem exigir qualquer forma de identificação ou token.
Este relatório segue a metodologia padrão de ODINT: a infraestrutura voltada ao público é enumerada, documentada e relatada. PII coletado de APIs aberto é apresentado de forma agregada ou redigida. Os registros brutos PII são mantidos em acesso restrito e não são publicados publicamente. O acesso a conjuntos de dados restritos pode ser concedido a jornalistas credenciados, investigadores e entidades governamentais afetadas, mediante solicitação.