Статистика кампанії
Двофазне OSINT розслідування — пасивна розвідка в січні 2026 року з подальшим активним API підрахуванням і збором даних 25 лютого 2026 року — спрямоване на цифрову інфраструктуру албанського уряду, дало такі висновки.
Контекст: амбіційна цифрова держава Албанії
Албанія витратила останнє десятиліття на розбудову однієї з найамбітніших у Східній Європі інфраструктур цифрового уряду. Національне агентство з питань інформаційного суспільства — АКШІ (Agjencia Kombëtare e Shoqërisë së Informacionit) — керує мережею, що з’єднує 220 державних установ, розміщує 380 державних веб-сайтів, підтримує понад 600 електронних сервісів для громадян і підтримує спеціальну CSIRT для операцій з кібербезпеки. Албанія потрапила в рейтинг 14-й у світі в GovTech Maturity Index 2025 і отримав визнання ООН як модель цифрової трансформації.
Країна також є членом НАТО і активно прагне до членства в ЄС із цільовою датою вступу до 2030 року. Брюссель постійно визначає корупцію як головну перешкоду. Відповіддю Албанії у вересні 2025 року стало призначення першого в світі міністра штучного інтелекту.
Діелла — назва від албанського слова «сонце» — це система ШІ, розроблена AKSHI за допомогою Microsoft Azure та OpenAI. Прем’єр-міністр Еді Рама призначив її державним міністром у справах штучного інтелекту з такими завданнями: «Державні тендери будуть на 100% вільні від корупції». У жовтні 2025 року Рама оголосив, що Діелла «вагітна з 83 цифровими помічниками», які будуть призначені кожному члену парламенту від правлячої партії для моніторингу законодавчих сесій.
"Агентство, яке створило антикорупційний штучний інтелект Албанії, саме по собі було злочинним підприємством. Його генерального директора та заступника заарештували через три місяці після призначення Діелли, звинувативши їх у керуванні структурованою злочинною групою для маніпулювання державними тендерами".
Історія
Це розслідування почалося в січні 2026 року як пасивна розвідка: відображення інфраструктури AKSHI та Diella, ідентифікація субдоменів через прозорість сертифікатів, дослідження загальнодоступних систем. Початковий висновок був простим — за регіональними стандартами урядова інфраструктура Албанії була добре захищена. WAF на основних доменах, WordPress API потребують автентифікації, жодних розкритих облікових даних у пакеті Frontend JavaScript Diella.
Оцінка повністю змінилася в лютому 2026 року. Коли підрахунок звернувся до парламенту Албанії — інституції, за якою мали стежити 83 «діти» ШІ Diella, — виникла інша картина. The Parliament (parlament.al) обслуговує односторінкову програму React, яка на перший погляд виглядає тупиковою: вона повертає HTTP 200 для всіх шляхів, класичний SPA catch-all. Але основний пакет JavaScript розповів іншу історію.
Витягнувши пакет JS розміром 355 КБ і запустивши вилучення рядка, виявлено жорстко закодовану базову URL-адресу API: https://kuvendiapi.azurewebsites.net/api. Подальше вилучення з мінімізованих змінних webpack створило сім імен об’єктів OData. Кожна кінцева точка відповідала на неавтентифіковані запити GET. Жодних токенів, обмежень швидкості та будь-якого контролю доступу.
Весь бекенд албанського парламенту API був широко відкритий.
Іронія глибока. Генерального директора AKSHI Мірлінду Карчанай та її заступника заарештували в грудні 2025 року — лише через три місяці після призначення Діелли — за звинуваченням у керуванні структурованою злочинною групою в тому самому агентстві, яке створило міністра боротьби з корупцією ШІ. SPAK (Спеціальна антикорупційна структура Албанії) виявила 12 тендерних процедур, які систематично маніпулювали. Парламент API був відкритий щонайменше з січня 2022 року. І Diella — інтегрована в платформу e-Albania з доступом до 36 000+ урядових документів — нічого цього не бачила.
Критичний висновок 1 — Албанський парламент: неавтентифікований API
Відкрийте кінцеві точки API.
| Кінцева точка | Записи | Розмір | Зміст |
|---|---|---|---|
| /анетарет | 236 | 138 КБ | MP records — повний PII |
| /структурат | — | 274 Кб | Парламентські комітети |
| /актет | — | 3,1 Мб | Законодавчі акти, інтерпеляції |
| /lajmet | — | 19,8 Мб | Статті парламентських новин |
| /mbledhjet | — | 2,2 Мб | Записи сесій і зустрічей |
| /документет | 54 545 URL-адрес | 30,2 Мб | Каталог документів із прямими URL-адресами Azure Blob |
| /YouTube/пошук | — | 8 КБ | Проксі для пошуку відео YouTube |
| /абонімет | — | 401 | Лише захищена кінцева точка |
MP PII Викрито — 236 записів
Кожен із 236 депутатів записує в /anetaret відповідь містить таку особисту інформацію:
- Повне найменування (прізвище, ім'я, по батькові)
- Дата народження та місце народження
- Офіційна електронна адреса (@parlament.al)
- Партійна приналежність та виборчий округ
- URL-адреса фотографії профілю (розміщена в Azure Blob Storage)
- Посилання на соціальні мережі (Facebook, Twitter/X, LinkedIn)
- Діючий/недіючий депутатський статус
Це повне, структуроване досьє на кожну особу, яка працює в законодавчому органі Албанії, включаючи особисті дані, контактну інформацію та політичну приналежність. Дані були зібрані без будь-якої автентифікації чи контролю доступу.
Azure Blob Storage — 54 545 публічних документів
The /dokumentet кінцева точка повертає каталог розміром 30,2 МБ JSON із переліком усіх документів у парламентському архіві. Перелік контейнерів увімкнено kuvendiwebfiles.blob.core.windows.net/webfiles/ вимкнено, але кожну URL-адресу можна безпосередньо перерахувати за допомогою відповіді API, а для всіх окремих блоків увімкнено публічний доступ для читання.
| Тип файлу | Граф |
|---|---|
| 32,627 | |
| JPEG / JPG | 18,289 |
| JFIF | 1,768 |
| DOCX | 885 |
| DOC | 397 |
| XLSX | 392 |
| PNG | 208 |
| XLS | 117 |
Серед знайдених документів: Таблиці зарплати депутата (PAGA DEPUTETE) і Депутатські пільги (PERFITIME DEPUTETE) щомісячно охоплює 2018–2020 роки; в Реєстр лобістів (Regjistri elektronik i Lobisteve); Журнали запитів і відповідей FOIA на 2018–2021 рр.; таблиці видатків бюджету та дані державного резервного фонду; Конституція Албанії, Виборчий кодекс і Закон про статус депутатів; та річні звіти парламенту з 2013 по 2019 роки.
Пакет JavaScript також містить жорстко закодоване внутрішнє посилання API за адресою http://134.0.63.165:5000/public — внутрішня IP-адреса, недоступна з загальнодоступного Інтернету, що підтверджує існування додаткової серверної інфраструктури поза межами загальнодоступної.
Критичний висновок 2 — корупційний скандал AKSHI
Іронія в цифрах
| Проголошена мета Діелли | Реальність |
|---|---|
| «Державні тендери будуть на 100% вільними від корупції» | Керівництво AKSHI затримано за тендерні маніпуляції |
| Міністр AI боротиметься з корупцією для вступу до ЄС | Директора агентства заарештували через 3 місяці після призначення |
| ШІ дітей для моніторингу законотворчої діяльності кожного депутата | Парламент API відкритий, без авторизації, дані всіх депутатів розкрито |
| Інтегровано в понад 36 000 державних документів | Документи, до яких це розслідування отримало доступ без облікових даних |
Знахідка 3 — Аналіз інтерфейсу Diella AI
Технічна безпека власної зовнішньої інфраструктури Diella окремо є компетентною. Статичні веб-програми Azure, конфігурація під час виконання, належний IAM через Keycloak, сегментована внутрішня інфраструктура. Але питання безпеки, які піднімає Diella, не є переважно технічними: вони інституційні. Агентство, яке контролює навчальні дані Diella, доступ до системи та робочі параметри, було скомпрометовано державними хакерами Ірану в 2022 році та діяло як злочинна організація до грудня 2025 року. Як Diella була побудована з даними зі зламаних систем? Хто стежив за антикорупційним ШІ, поки його творці маніпулювали тендерами?
Знахідка 4 — Портал відкритих даних
Доступні набори даних
| Набір даних | Джерело | Обсяг |
|---|---|---|
| Центри здоров'я | АКШІ | 400 центрів з GPS |
| Аптеки та ліки | АКШІ | 2289 записів |
| Реєстр підприємств (юридична форма) | QKB | 2025 + 2026 дані |
| Реєстр підприємств (право власності) | QKB | 2025 + 2026 дані |
| Реєстр підприємств (регіон) | QKB | 2025 + 2026 дані |
| Реєстр державного боргу 2024 | Міністерство фінансів | 4 квартальні файли |
| Дані казначейства | Міністерство фінансів | 900 щоденних розсилок |
| Державні інвестиції | Міністерство фінансів | Щомісячні дані |
| Статистика електронної Албанії 2023 | АКШІ | 12 місячних звітів |
| Користувачі електронної Албанії 2013–2024 | АКШІ | Статистика річної реєстрації |
| Поштовий потік аеропорту 2025 | Цивільна авіація | Щомісячна статистика |
Розширене сканування уряду Албанії
Сімнадцять державних доменів Албанії були досліджені протягом лютого 2026 року. Більшість захищені: Incapsula WAF, 403/404 відповіді, немає доступних панелей адміністратора. Перелік прозорості сертифіката .gov.al доменний простір через crt.sh створив 832 домени та розширив кількість відомих субдоменів AKSHI з 50 (січень) до 110 (лютий), показавши Jira, Rancher, Wiki та внутрішні тестові середовища — усі лише за внутрішнім DNS, недоступним із загальнодоступного Інтернету.
| Домен | Результат | Сутність |
|---|---|---|
| e-albania.al | 200 (загартований) | Основна платформа електронного урядування |
| akshi.gov.al | WordPress, WAF | Національне ІТ агентство |
| parlament.al | React SPA — API ВІДКРИТИ | Парламент Албанії |
| kryeministria.al | Інкапсуляція WAF | Офіс прем'єр-міністра |
| president.al | 403 Заборонено | Офіс президента |
| bankofalbania.org | 403 Заборонено | Центральний банк |
| klsh.org.al | WordPress, 401 загартований | Вищий контрольний орган |
| pp.gov.al | ВНИЗ | Генеральна прокуратура |
| policia.al | ВНИЗ | Державна поліція |
| mbrojtja.gov.al | ВНИЗ | Міністерство оборони |
| financat.gov.al | ВНИЗ | Міністерство фінансів |
| drejtesia.gov.al | Інкапсуляція WAF | Міністерство юстиції |
| arsimi.gov.al | Інкапсуляція WAF | Міністерство освіти |
| tatime.gov.al | ВНИЗ | Податкова служба |
| dogana.gov.al | ВНИЗ | Митний орган |
| dpshtrr.gov.al | 415 (реєстр транспортних засобів) | Отримання водійських прав |
| instat.gov.al | 404 (чистий) | Інститут статистики |
Через перерахування crt.sh було виявлено чотири ГІС-портали: geoportal.asig.gov.al (національний геопортал), instatgis.gov.al (статистика WebGIS), webgis.arrsh.gov.al (Управління автомобільних доріг), і webgis.atp.gov.al (Планування територій). Жодна не розкриває доступні кінцеві точки даних GeoServer або WFS — усі програми є лише зовнішніми.
Організації з компромісами
Історичний контекст: десятиліття експозиції
Викриття парламенту API не існує ізольовано. Протягом останніх п’яти років Албанія зазнавала систематичного злому на кожному рівні її цифрової інфраструктури.
| Дата | Інцидент | Масштаб |
|---|---|---|
| Квітень 2021 | Витік бази даних виборців | 910 000 записів (~33% населення) |
| Грудень 2021 | Витік бази даних зарплат (WhatsApp) | 637 138 записів (22% населення) |
| травень 2021 р | Іранське правосуддя HomeLand отримує початковий доступ до AKSHI | 14 місяців тихої наполегливості |
| Липень 2022 | Деструктивна атака: програма-вимагач ROADSWEEP + очищувач ZeroCleare | Албанія змушує державні служби працювати в автономному режимі |
| вересень 2022 р | Албанія розриває дипломатичні відносини з Іраном | НАТО засуджує атаку |
| жовтень 2022 р | Поліція підозрює витік бази даних через Telegram | ~100 000 записів, 1,7 Гб |
| Грудень 2023 | Парламент + Атака на одну телекомунікаційну мережу Албанії | Заявлено про знищення 2 петабайтів |
| січень 2024 р | Інститут статистики INSTAT зламано | Заявлено про ексфільтрацію 100+ ТБ |
| Вересень 2025 | Діелла призначена міністром ШІ | — |
| Грудень 2025 | Генерального директора AKSHI заарештували за корупцію | Розслідується 12 тендерів |
| лютий 2026 р | Парламент API визнано відкритим — це розслідування | 54 545 документів, 236 депутатів PII |
Іранська державна група HomeLand Justice (MITRE ATT&CK C0038, приписується ФБР, CISA, НАТО та NCSC Великобританії Міністерству розвідки та безпеки Ірану) порушив AKSHI шляхом використання CVE-2019-0604 (Microsoft SharePoint). Початковий доступ було створено в травні 2021 року — за чотирнадцять місяців до руйнівної атаки, розпочатої в липні 2022 року. Протягом цього вікна інформаційний викрадач CHIMNEYSWEEP викрадав дані з агентства, яке пізніше створить міністра ШІ Албанії.
Інвентаризація даних
Загальна колекція: 251 Мб на 1309 файлів, відновлених із загальнодоступних, неавтентифікованих кінцевих точок і URL-адрес сховища BLOB-об’єктів Azure.
OSINT Методологія та правове повідомлення
Усі дані в цьому дослідженні було відновлено за допомогою пасивних і активних методів OSINT, застосованих до загальнодоступних, неавтентифікованих кінцевих точок API і URL-адрес Azure Blob Storage. Жодна автентифікація не була обійдена. Облікові дані не перевірялися та не використовувалися. Жоден контроль доступу не обійдеться. Албанський парламент API відповів на стандартні запити HTTP GET, не вимагаючи жодної форми ідентифікації чи маркера.
Цей звіт відповідає стандартній методології ODINT: публічна інфраструктура перераховується, документується та звітується. PII, зібраний із відкритого APIs, представлений у зведеному або відредагованому вигляді. Необроблені записи PII зберігаються в обмеженому доступі та не публікуються. Доступ до обмежених наборів даних може бути надано журналістам, дослідникам і постраждалим державним установам за запитом.