Cuba Cyber Tour

Avaliação de infraestrutura governamental, militar e empresarial estatal — desde o conglomerado de US$ 18 bilhões da GAESA até o vazamento de dados de cidadãos não autenticados APIs.

Os militares dirigem a economia. Mapeámos a infra-estrutura que se esqueceram de bloquear.

← Voltar para CyberTours
2,052 Domínios verificados
31,684 Registros de pagamento expostos
5,313 Registros do Aluno PII
805 Agências Bancárias (GPS)
131 Domínios Governamentais (V1)
42 Subsidiárias GAESA
13,800+ E-mails exclusivos vazados
307MB Evidência Total

Sobre esta investigação

Avaliação em duas fases OSINT da infraestrutura do governo cubano. V1 (janeiro de 2026) documentou 131 .gob.cu domínios em 20 categorias – presidência, ministérios, forças armadas, mídia estatal, infraestrutura, judiciário e empresas estatais. V2 (março de 2026) expandido para 2.052 domínios por meio de transparência de certificado e enumeração DNS, descobrindo a pegada digital do conglomerado militar GAESA, um fornecedor catastrófico de software com ponto único de falha (Guajiritos S.R.L.) e APIs não autenticado expondo dezenas de milhares de registros de pagamento com clientes PII. Todos os dados obtidos passivamente por meio da rotação de vários nós do Tor — sem exploração, sem necessidade de autenticação.

GAESA: Os militares também administram a Internet

GAESA (Grupo de Administração Empresarial S.A.) é o conglomerado empresarial militar cubano, controlando cerca de 40% da economia nacional e 95% das transações em moeda estrangeira. Das 42 subsidiárias investigadas, 34 têm zero DNS registros – opacidade digital total. Mas os 20% que estão online compartilham um único fornecedor de software, um único certificado SSL e um único conjunto de [[ZXQ0QXZ] não autenticados. Uma empresa — Guajiritos S.R.L. — constrói e opera toda a TI de turismo para mais de 20 empresas GAESA. Um compromisso de Guajiritos significa um compromisso de toda a infra-estrutura de reservas turísticas de Cuba, marinas militares, turismo médico e frota de aluguer de automóveis.

Rede de Turismo GAESA

7 empresas, 1 certificado SSL, compartilharam tudo

EmpresaDomínioPapel
Havanatur S.A.*.havanatursa.comPlataforma principal de reservas (12 API subdomínios)
Grupo Cubanacán*.grupocubanacan.comGrupo de turismo
Marinas Gaviota S.A.*.marinasgaviotasa.comMarina militar/turismo náutico
Cubanacán S.A.*.cubanacansa.comOperador de turismo
Okaturs*.okaturs.comOperador de turismo
CEI La Pradera*.cislapradera.comTurismo médico / Centro Internacional de Saúde
Ofertas Viagens*.ofertastravel.comOperador de turismo

Descobertas Críticas

Dados expostos sem autenticação no governo cubano e na infraestrutura militar

EncontrandoFonteImpacto
31.684 registros de pagamento com cliente PIITurismo GAESA APIsMais de 13.800 e-mails, mais de 27.500 números de telefone
Inventário completo da frota de carros de aluguelHavanatur API156 veículos, preços, disponibilidade
805 agências bancárias com coordenadas GPSBanco Central APIMapa completo de infraestrutura financeira
Sistema triplo de taxa de câmbio expostoBanco Central APITaxas oficiais, informais e criptográficas
5.313 registros de alunos com identidades nacionaisUCLV GitLabPII completo: nomes, números de IC, dados de inscrição
Laravel APP_KEY + credenciais de banco de dadosUCLV GitLab confirmaCapacidade de execução remota de código
Hashes de senha BcryptUCLV GitLabRisco de roubo de credenciais
Concessão de senha do OpenID ConnectSistema de autenticação UCLVEndpoint de autenticação de senha direta
Funcionário da ETECSA PII em certificado SSLTransparência do certificadoVazamento de dados organizacionais internos
WordPress enumeração de usuários (14 contas)Saúde, educação, mídia .gob.cuGravatar hashes, destinos de login
Coordenadas do QG militar do MINFAR GPSMetadados públicosAvenida Independência, Havana 10400
12 IDs do Google Analytics mapeadosSites governamentaisRastreamento entre sites e mapeamento de relacionamento

Credenciais e segredos

Credenciais expostas, hashes de senha, chaves API e PII em ambas as avaliações

🔑
Relatório de credenciais expostas V2
Laravel APP_KEY (RCE), senhas de banco de dados raiz, hashes bcrypt, concessão de senha OpenID
Visualizar
🔑
V1 Todas as credenciais
Credenciais compiladas de 131 domínios governamentais
Visualizar
🔐
WordPress Hashes de senha
Todos os hashes WP coletados em domínios .gob.cu
Visualizar
🔐
Gravatar Hashes
Hashes de e-mail da enumeração do usuário WordPress
Visualizar
📧
Lista mestre de e-mail
64 endereços de e-mail governamentais extraídos
Visualizar
👤
Todos os nomes de usuário
14 contas enumeradas em plataformas CMS governamentais
Visualizar
📞
Números de telefone
Números de telefone do governo extraídos de infraestrutura
Visualizar
👤
Identificadores de mídia social
Contas governamentais de mídia social identificadas
Visualizar
🔧
Vazamentos de configuração
Configurações de servidor expostas e pontos de extremidade de depuração
Navegar
🔥
Cuba Pwned
OSINT postagens sociais e evidências visuais
Navegar

V1 — Coleta de Infraestrutura Governamental

131 domínios em 20 categorias – janeiro de 2026

🏛
01 — Presidência
Poder Executivo, Partido Comunista (PCC)
Navegar
🏛
02 — Ministérios
Infraestrutura dos ministérios governamentais
Navegar
🛡
03 – Militar e Segurança
MINFAR, MININT, Aduana (Alfândega)
Navegar
📺
04 — Mídia Estatal
Granma, Cubadebate, Rádio Rebelde, Juventud Rebelde
Navegar
05 — Infraestrutura
ETECSA, utilidades, telecomunicações
Navegar
06 — Judiciário
Tribunais, promotores
Navegar
🏛
07 — Outro Governo
Bancos, saúde, educação, empresas estatais
Navegar
📄
08 — HTML Fonte
Cópias off-line HTML de sites governamentais
Navegar
🔒
09 — Certificados SSL
16 certificados coletados e analisados
Navegar
🔌
10 — APIs
Terminais API descobertos
Navegar
🔎
11 — IDs de rastreamento
12 IDs do Google Analytics mapeados
Navegar
💻
12 – Pilhas de tecnologia
CMS, estruturas, impressões digitais de servidor
Navegar
🚨
13 — Descobertas Críticas
Exposições de alta gravidade
Navegar
🤖
14 – Descobertas de IA
Resultados de análise assistida por IA
Navegar
🗃
15 – Despejos brutos
Extração de dados brutos
Navegar
🗃
16 – Exportações de matérias-primas
Dados de digitalização exportados
Navegar
🔑
17 — Credenciais expostas
Credenciais e segredos descobertos
Navegar
🔧
18 – Vazamentos de configuração
Arquivos de configuração expostos
Navegar
📊
19 — Resumo de rastreamento
Mapa de relacionamento de rastreamento entre sites
Navegar
📄
20 – Relatórios
Relatórios mestre OSINT
Navegar

V2 — GAESA e infraestrutura profunda

2.052 domínios – conglomerado militar, universidade GitLab, bancos APIs – março de 2026

📄
Relatório de descobertas V2
Relatório mestre de 838 linhas — GAESA, Guajiritos, registros de pagamento, aluno PII, credenciais
Visualizar
🔑
Credenciais expostas
Credenciais de banco de dados, APP_KEYs e segredos da avaliação V2
Navegar
🗃
Lixeiras Turísticas da GAESA
Registros de pagamento, dados da frota da rede de turismo militar
Navegar
🗃
Havanatur API Despejos
Sistema de reservas, frota de aluguel, dados do cliente
Navegar
🗃
Infraestrutura de Guajiritos
TI de turismo de fornecedor único – evidência de base de código compartilhada
Navegar
🏦
Despejos do Banco Central
805 agências bancárias, coordenadas GPS, taxas de câmbio
Navegar
🎓
UCLV GitLab
5.313 registros de alunos, credenciais Laravel, hashes bcrypt
Navegar
🛡
Dados MINFAR
Dados de infraestrutura militar
Navegar
🎓
Varreduras universitárias
Avaliação da infraestrutura do ensino superior
Navegar
🚌
Dados WeTransp
Despejos de infraestrutura de transporte
Navegar

© 2026 Observatório de Infraestruturas Digitais e Transparência de Redes. Sem fins lucrativos independente.

Lar · Privacidade · Termos

Doar