Estatísticas de Operação
Em 1º de março de 2026, durante as hostilidades ativas entre Paquistão e Afeganistão (Operação Ghazab Lil Haq), ODINT conduziu uma varredura de reconhecimento passivo de 3 horas do governo paquistanês e da infraestrutura digital acadêmica. Todos os dados foram extraídos através do Tor usando métodos totalmente de código aberto – sem explorações, sem desvio de autenticação.
O contexto do tempo de guerra
A infra-estrutura digital do Paquistão partiu-se em duas em 1 de Março de 2026. O governo central – o Gabinete do Presidente, o Parlamento, a Comissão Nuclear (PAEC), o Banco do Estado, o Conselho Federal de Receitas, os caminhos-de-ferro nacionais, os serviços públicos da NADRA – ficou completamente silencioso. Seja através do encerramento defensivo deliberado ou do colapso genuíno da infraestrutura sob o peso da Operação Ghazab Lil Haq, mais de 35 grandes domínios .gov.pk não responderam.
O que permaneceu de pé conta a sua própria história. As instituições que o Paquistão fez não proteger – suas universidades, um governo provincial, um portal de dados abertos, dois painéis de administração federais – ficaram totalmente expostos, sem implantação adicional de WAF, sem restrição de IP e, em alguns casos, executando servidores web sete anos desatualizados.
O Paquistão priorizou a proteção da sua infraestrutura nuclear e financeira. Esqueceu-se completamente das suas universidades, da sua província mais pobre e da sua plataforma de dados abertos.
Colapso da infraestrutura: o que aconteceu
Dos mais de 57 domínios paquistaneses escaneados durante as hostilidades ativas, 65% estavam completamente inacessíveis, 17% estavam por trás do bloqueio do Tor pelos WAFs e apenas 21% permaneceram acessíveis e funcionais.
Completamente inacessível (>35 domínios)
| Domínio | Organização | Status |
|---|---|---|
| pakistan.gov.pk | Portal do Governo Federal | ABAIXO |
| pmo.gov.pk | Gabinete do Primeiro Ministro | ABAIXO |
| senate.gov.pk / na.gov.pk | Parlamento (ambas as câmaras) | ABAIXO |
| paec.gov.pk | Comissão de Energia Atômica do Paquistão | ABAIXO |
| nescom.gov.pk | Desenvolvimento nuclear e de mísseis | ABAIXO |
| sbp.org.pk | Banco Estatal do Paquistão | ABAIXO |
| fbr.gov.pk / iris.fbr.gov.pk | Receita Federal / IRIS 2.0 | ABAIXO |
| mail.ntc.net.pk | E-mail do Governo Federal (Zimbra) | ABAIXO |
| punjab.gov.pk / sindh.gov.pk | Províncias de Punjab e Sindh | ABAIXO |
| nadra.gov.pk (serviços eletrônicos) | Base de dados de identidade nacional (pública) | ABAIXO |
Atrás do WAF – Tor bloqueado (10 domínios)
| Domínio | WAF | Status |
|---|---|---|
| ispr.gov.pk | nuvemflare | 403 BLOQUEADO |
| paknavy.gov.pk | nuvemflare | 403 BLOQUEADO |
| nust.edu.pk | nuvemflare | 403 BLOQUEADO |
| comsats.edu.pk | nuvemflare | 403 BLOQUEADO |
| gcu.edu.pk | Sucuri/CloudProxy | 403 BLOQUEADO |
Status completo da infraestrutura em tempo de guerra com todos os mais de 57 domínios: Status da infraestrutura em tempo de guerra
Alvos ao vivo: o que permaneceu aberto
Doze domínios permaneceram acessíveis e foram submetidos a enumeração profunda. As instituições deixadas expostas revelam um padrão de negligência que nenhuma postura defensiva durante a guerra corrigiu.
WordPress REST API: Três instalações governamentais totalmente expostas
Três organizações paquistanesas expõem seu WordPress REST API completo sem autenticação: a Universidade Quaid-i-Azam, o Governo do Baluchistão e o Departamento de Ciência e TI do Baluchistão. Extração combinada: 13,4MB de dados governamentais e acadêmicos estruturados.
admin_bal) gerencia ambos balochistan.gov.pk e sit.balochistan.gov.pk – confirmado por um hash gravatar idêntico em ambas as instalações. Comprometer uma conta de e-mail prejudica ambos os sites. wp-login.php está diretamente acessível no domínio SIT.
Inteligência Pessoal: Mais de 340 Indivíduos Nomeados
Em todos os alvos, mais de 340 indivíduos foram identificados com diversos graus de informações de contato pessoal. Todos os dados foram extraídos de fontes acessíveis ao público sem autenticação.
Comissários Divisionais do Baluchistão
Oito administradores provinciais seniores foram identificados por nome e divisão no conteúdo da página WordPress – incluindo o comissário da Divisão Makran (Dawood Khan Khilji), que faz fronteira com o Irã e hospeda o Porto de Gwadar, a peça central do CPEC.
Diretórios de Pessoal da QAU — Exemplo
O que se segue é uma amostra parcial de dados extraídos de páginas do pessoal da UGQ acessíveis ao público. Extensões telefônicas diretas, endereços de e-mail institucionais e pessoais e cargos organizacionais foram recuperados para mais de 65 indivíduos.
Portal de dados abertos: 1.471 conjuntos de dados governamentais
Portal de dados abertos do Paquistão (opendata.com.pk) executa o CKAN 2.8.3 em um servidor datado de outubro de 2017. Apesar de declarar /api/ fora dos limites em robots.txt, todo o API é acessível gratuitamente sem autenticação.
Painéis de administração federal expostos
Dois sites do governo federal expõem painéis de login administrativos diretamente na Internet, sem WAF, sem restrição de IP e sem CAPTCHA — durante um conflito militar ativo.
/trace.axd retorna um 403 (não um 404), confirmando que o rastreamento de solicitação ASP.NET está habilitado no servidor. Gerenciamento de operações em nível de sede acessível sem restrições.
Divulgação de configuração do servidor: LUMS phpinfo.php
A Lahore University of Management Sciences expõe um phpinfo.php página (96 KB) revelando a pilha completa do servidor: nome do host, kernel, versão do sistema operacional, extensões PHP, configuração do banco de dados e caminhos do sistema de arquivos — uma impressão digital completa para exploração direcionada.
lumswebsite-websrv1, núcleo 5.4.17-2136.350.3.2.el8uek.x86_64 (Oracle UEK), RHEL 8.10, Apache 2.4.66, PHP 8.1.34. As extensões PHP SSH2 e LDAP confirmam que o servidor se conecta a outra infraestrutura LUMS – possíveis caminhos dinâmicos.
Baluchistão: Província na mira
O Baluchistão é a maior província do Paquistão em área (44% do território do Paquistão), o seu corredor estratégico para o CPEC e o anfitrião do Porto de Gwadar - o ponto de acesso da China ao Oceano Índico. Durante a guerra Paquistão-Afeganistão, tornou-se uma zona crítica da linha de frente. Foi também o único governo provincial remanescente.
O WordPress API provincial expôs nomeações de comissários divisionais em todas as 8 divisões do Baluchistão, documentos orçamentários completos de 2020 a 2026, legislação de mais de 14 departamentos e a lista de pessoal para a infraestrutura de vigilância de Gwadar. A situação de TLD duplo (.gov.pk e .gob.pk) cria risco adicional de representação.
Infraestrutura Digital Governamental
A infraestrutura digital do governo do Paquistão está centralizada em torno de um pequeno número de sistemas críticos. Durante a guerra, todos estavam offline ou bloqueados. O que se segue representa o cenário de segmentação do pós-guerra.
NADRA - Identidade Nacional sob Bloqueio em Tempo de Guerra
A plataforma Nishan API da NADRA – que fornece serviços Verisys (verificação demográfica), Biosys (impressão digital biométrica), Multi-biométrica (impressão digital + facial) e Prova de Vida para mais de 220 milhões de cidadãos paquistaneses – ficou completamente escura. Todos os seis endpoints NADRA voltados ao público retornaram erros variando de 403 a 500.
O formato numérico CNIC da NADRA codifica província, distrito, tehsil, conselho sindical, linhagem familiar e gênero em 13 dígitos. Um conjunto de dados CNIC comprometido não expõe apenas um número de identificação – ele mapeia toda a geografia administrativa de uma pessoa.
Cronograma histórico de violação
A actual exposição do Paquistão assenta num histórico documentado de incidentes graves.
| Data | Incidente | Impacto |
|---|---|---|
| 2019–2023 | Roubo de dados internos da NADRA por funcionários | 2,7 milhões de registros de cidadãos vendidos (Argentina, Romênia) |
| 2024 | NADRA viola divulgação pública | Identificações fraudulentas emitidas para cidadãos afegãos |
| 2025 | Violação de credenciais globais | 180 milhões de credenciais de usuários de internet paquistaneses |
| 2025 | Vazamento de dados do SIM | Registros de chamadas de ministros federais expostos |
| 2025 | Campanha do Exército Cibernético Afegão | 100 sites .gov.pk de alto perfil desfigurados |
Inventário de dados
| Categoria | Tamanho | Conteúdo principal |
|---|---|---|
| qau-full-dump/ | 6,6MB | 200 páginas, 484 postagens, 603 mídias, diretórios de funcionários |
| pu-full-dump/ | 8,3MB | 101 arquivos, 18.460 URLs, 19 departamentos |
| ckan-dump/ | 8,9MB | 1.471 conjuntos de dados, 36 usuários, 22 organizações |
| baluchistão-wp-dump/ | 5,9MB | 149 páginas governamentais, 1.297 mídia, comissários, orçamentos |
| pak-wp-dumps/ | 6,3MB | SIT WP, LUMS phpinfo, páginas de administração |
| universidades pak/ | 2,5MB | 7 sondas universitárias (LUMS, AIOU, UOS, outras) |
| pak-sonda profunda/ | 957 KB | Reconhecimento inicial do alvo |
| prioridade pak/ | 216 KB | Sondas NADRA, NTC, NITB, FBR |
| pak-admin-panels/ | 32 KB | FSP, análise de login de administrador EP |
| TOTAL | 46MB | 9 categorias alvo |
Anexos Técnicos Detalhados
Nove relatórios especializados cobrem cada área da operação com total profundidade técnica.
Metodologia e Escopo
Todos os dados documentados neste relatório foram obtidos através de técnicas passivas de inteligência de código aberto, utilizando interfaces acessíveis ao público. Nenhuma autenticação foi ignorada, nenhuma vulnerabilidade foi explorada e nenhum acesso não autorizado foi realizado. Todos os dados estavam disponíveis sem credenciais no momento da coleta.
O reconhecimento foi conduzido via proxychains4/Tor a partir de infraestrutura anônima (CT105, 10.0.0.99). A janela de operação foi das 07h27 às 09h45 UTC em 01 de março de 2026.
ODINT publica esta pesquisa para apoiar a transparência, a responsabilidade jornalística e o discurso público informado sobre a postura de segurança digital do governo. A divulgação deste material é consistente com a declaração de ODINT Política de Ética e Metodologia.