Nenhuma autenticação necessária

Estatísticas de campanha

Duas operações OSINT simultâneas — Crystal Vault (enumeração federal API) e um Campanha de exposição .git — contra o governo mexicano, a academia, a mídia e a infraestrutura estadual produziram os seguintes resultados agregados.

Comando de uma curva

Tudo começou com uma única linha em um terminal.

curl -s https://repodatos.atdt.gob.mx/api_update/

A resposta não foi um erro. Não era uma página de login. Foi um listagem de diretório de 177 agências federais — todos os conjuntos de dados publicados por todos os ministérios, reguladores e organismos públicos ligados à plataforma nacional de dados abertos do México.

ATDT - o Agência de Transformação Digital e Telecomunicações (Agência para a Transformação Digital e Telecomunicações) — é o braço tecnológico centralizado do governo mexicano. Ele gerencia o repositório de dados federal em repodatos.atdt.gob.mx, uma plataforma projetada para agregar e distribuir conjuntos de dados de todo o poder executivo. O API fez uma transmissão ao vivo. Os endpoints foram indexados. Não houve autenticação, limitação de taxa ou controle de acesso de qualquer tipo.

Cada pasta de agência continha metadados estruturados, links diretos para arquivos CSV e, em muitos casos, mapas API completos descrevendo cada endpoint e parâmetro disponível. O que deveria ser uma plataforma controlada de distribuição de dados era, na prática, um arquivo aberto com a fechadura removida.

Nenhuma credencial foi necessária. Nenhuma exploração foi usada. Nenhum termo de serviço foi ignorado. O API era público por design – ou por negligência. O resultado foi o mesmo.

Metas comprometidas

Sete alvos nos setores do governo federal, do governo estadual, acadêmico, eleitoral e de mídia foram comprometidos por meio de dois vetores: acesso não autenticado API e exposição .git/ diretórios em servidores de produção.

Conjuntos de dados críticos PII

O API federal em repodatos.atdt.gob.mx serviu conjuntos de dados contendo informações de identificação pessoal para cerca de 186 milhões de registros. Os conjuntos de dados a seguir representam as exposições mais sensíveis, organizadas por gravidade.

SAT – 464.153 contribuintes

O Serviço de Administração Tributária (SAT) — a autoridade fiscal do México — foi a maior fonte de informações de identificação pessoal na coleção. Cinco conjuntos de dados totalizando 69MB de dados estruturados expôs os registos fiscais de quase meio milhão de indivíduos e organizações.

464.153 contribuintes. Nomes, identificações fiscais, endereços, números de telefone. Servido como CSV simples de um [[ZXQ0QXZ] não autenticado. Um comando curl por arquivo.

Exposição da folha de pagamento dos UAEM

A exposição .git em uaem.mx (Universidad Autónoma del Estado de Morelos) recuperou 11.605 arquivos totalizando 960 MB de código-fonte de produção, incluindo bancos de dados de estudantes PII, diretórios de funcionários e dados completos da folha de pagamento. Os arquivos da folha de pagamento revelam compensações quinzenais totalizando mais de US$ 60 milhões de pesos mexicanos por período (dados de 2019).

O material recuperado adicional da UAEM inclui: banco de dados do aluno PII (SOLICITUD_CONSTANCIAS tabela com nomes completos, e-mails, carteiras de estudante, notas e especialidades), diretórios de funcionários, lista telefônica de TI, sistema de processamento de pagamentos, sistema de votação eletrônica, sistema de licença profissional, sistema de geração de diplomas e configuração completa do Apache com regras de roteamento. O único desenvolvedor — Rafael Fragoso ([email protected], GitHub: norgoth) — tinha acesso root e foi implantado diretamente na produção.

SFP – 809 funcionários sancionados

O Secretaria da Função Pública (SFP) — O Ministério da Administração Pública do México — mantém o registo oficial dos funcionários governamentais sancionados. O conjunto de dados exposto por meio do ATDT continha 809 registros de funcionários federais que foram formalmente sancionados por corrupção, má conduta ou violações administrativas.

Cada registro incluía o nome completo do funcionário, o órgão que ele servia, o tipo de sanção imposta e a duração da sua desqualificação do serviço público. As sanções variaram de suspensões temporárias a proibições permanentes de empregos públicos.

Entre os nomes: Emilio Lozoya Austin, ex-CEO da PEMEX (Petróleos Mexicanos), empresa petrolífera estatal do México. Lozoya estava no centro da Escândalo da Odebrecht — uma operação de suborno em todo o continente em que o conglomerado de construção brasileiro pagou US$ 10,5 milhões em subornos para garantir contratos com a PEMEX. Lozoya foi preso em Espanha em 2020, extraditado para o México e tornou-se uma testemunha colaboradora cujo depoimento envolveu antigos presidentes e altos funcionários.

A lista de sanções do SFP é, em essência, um registo público de todos os funcionários federais que o governo mexicano considerou formalmente corruptos. O fato de ter sido servido sem autenticação de um API aberto é consistente com o padrão em toda a plataforma ATDT: dados que trazem consequências reais para pessoas reais, tratados como se fossem informações meteorológicas.

INDAABIN — 1.396 Notários Federais

O Instituto de Administração e Avaliação de Bienes Nacionais (INDAABIN) — o instituto federal responsável pela avaliação e gestão imobiliária nacional — contribuiu com um dos conjuntos de dados mais incomuns da coleção: o registro completo de 1.396 cartórios federais.

Cada registro continha o nome legal completo do notário, número de licença, endereço do escritório e jurisdição. Os notários federais no México são atores críticos em transações imobiliárias, incorporações comerciais e certificações legais. Suas identidades e localizações não são anunciadas publicamente com esse nível de detalhe – ou não deveriam ser.

A exposição de um registro notarial completo cria um perfil de risco específico. Os notários são alvo de coerção por parte de grupos do crime organizado que procuram legitimar aquisições de propriedades, falsificar documentos empresariais ou lavar dinheiro através de bens imobiliários. Uma lista extensa de todos os notários federais, os endereços dos seus escritórios e números de licença não é apenas uma inconveniência administrativa – é um mapa operacional para qualquer pessoa que pretenda comprometer o sistema notarial do México.

Campanha de exposição Git

Uma campanha paralela de exposição .git recuperada 17 conjuntos de credenciais ativas de 6 domínios mexicanos, expostos Mais de 37 identidades de desenvolvedorese recuperado quase 1 GB de código-fonte de produção de uma grande universidade pública. Sete repositórios Git foram descobertos no GitHub, GitLab, Bitbucket e instâncias internas do Gitea.

Os conjuntos de credenciais abrangem um instituto eleitoral estadual (infraestrutura eleitoral), um departamento estadual de saúde, uma grande universidade com estudantes PII e um grande jornal. Foram identificados três IPs externos com serviços de banco de dados conectáveis: 104.45.237.221 (Azure, IEEQ), 187.191.76.50 (comunicações IEEQ) e 52.117.172.166 (IBM Cloud, El Siglo). Todas as credenciais foram encontradas no código-fonte comprometido, indicando falha sistêmica no uso de variáveis ​​de ambiente ou gerenciamento de segredos nas instituições mexicanas.

O Ministério Público do Estado de Durango (fiscalia.durango.gob.mx) executa um único serviço de instalação WordPress 24 sites de agências governamentais estaduais incluindo Fiscalia, DIF, Educação, Saúde, Segurança Pública, Protecção Civil e SIPINNA (bem-estar infantil). Ele executa RevSlider com CVE-2022-0441 (CVSS 9.8, desvio de autenticação) e CVE-2014-9734 (inclusão de arquivo). Nenhum plug-in de segurança está instalado. XML-RPC está ativado.

Dados brutos e downloads

Todos os dados coletados foram arquivados e estão disponíveis para pesquisadores, jornalistas e organizações da sociedade civil através do servidor de dados de ODINT.