Куба Cyber Tour
Оцінка інфраструктури уряду, війська та державних підприємств — від конгломерату GAESA вартістю 18 мільярдів доларів до неавтентифікованого APIs витоку даних громадян.
Військові керують економікою. Ми нанесли на карту інфраструктуру, яку вони забули заблокувати.
Про це розслідування
Двофазова OSINT оцінка інфраструктури уряду Куби. V1 (січень 2026) задокументував 131 домен .gob.cu у 20 категоріях — президентство, міністерства, військові, державні ЗМІ, інфраструктура, судова система та державні підприємства. V2 (березень 2026 р.) розширено до 2052 доменів за допомогою прозорості сертифікатів і перерахування DNS, розкриваючи цифровий слід військового конгломерату GAESA, катастрофічного постачальника програмного забезпечення з єдиною точкою відмови (Guajiritos S.R.L.) і неавтентифіковані APIs викриття десятки тисяч платіжних записів із клієнтом PII. Усі дані, отримані пасивно через багатовузлову ротацію Tor — без використання, без автентифікації.
GAESA: Військові також керують Інтернетом
GAESA (Grupo de Administración Empresarial S.A.) — кубинський військовий бізнес-конгломерат, який контролює приблизно 40% національної економіки та 95% валютних операцій. З 42 перевірених дочірніх компаній 34 мають нульові DNS записи — повна цифрова непрозорість. Але 20%, які працюють в Інтернеті, мають одного постачальника програмного забезпечення, один сертифікат SSL і один набір неавтентифікованих APIs. Одна компанія — Guajiritos S.R.L. — будує та керує всіма туристичними ІТ для 20+ компаній GAESA. Компроміс Guajiritos означає компроміс усієї інфраструктури туристичного бронювання Куби, військових пристаней, медичного туризму та парку автомобілів напрокат.
Туристична мережа GAESA
7 компаній, 1 сертифікат SSL, поділилися всім
| Компанія | Домен | Роль |
|---|---|---|
| Havanatur S.A. | *.havanatursa.com | Основна платформа бронювання (12 субдоменів API) |
| Кубанська група | *.grupocubanacan.com | Туристична група |
| Marinas Gaviota S.A. | *.marinasgaviotasa.com | Військова марина / морський туризм |
| Cubanacan S.A. | *.cubanacansa.com | Туристичний оператор |
| Окатури | *.okaturs.com | Туристичний оператор |
| СНД La Pradera | *.cislapradera.com | Лікувальний туризм / Міжнародний оздоровчий центр |
| Офертас Тревел | *.ofertastravel.com | Туристичний оператор |
Критичні висновки
Дані розкриваються без автентифікації через урядову та військову інфраструктуру Куби
| Знахідка | Джерело | Вплив |
|---|---|---|
| 31 684 платіжні записи з клієнтом PII | GAESA туризм APIs | 13 800+ електронних листів, 27 500+ телефонних номерів |
| Повний перелік автопарку оренди | Гаванатур API | 156 автомобілів, ціни, наявність |
| 805 банківських відділень з GPS координатами | Banco Central API | Повна карта фінансової інфраструктури |
| Викрита система потрійного обмінного курсу | Banco Central API | Офіційні, неофіційні та криптовалютні курси |
| 5313 студентських записів з національними ідентифікаторами | UCLV GitLab | Повний PII: імена, номери КІ, реєстраційні дані |
| Laravel APP_KEY + облікові дані БД | Коміти UCLV GitLab | Можливість віддаленого виконання коду |
| Хеші паролів Bcrypt | UCLV GitLab | Ризик крадіжки облікових даних |
| Надання пароля OpenID Connect | Система авторизації UCLV | Кінцева точка прямої автентифікації паролем |
| Співробітник ETECSA PII у сертифікаті SSL | Прозорість сертифіката | Витік внутрішніх організаційних даних |
| WordPress перелік користувачів (14 облікових записів) | Охорона здоров'я, освіта, ЗМІ .gob.cu | Gravatar хеші, цілі входу |
| Координати військового штабу MINFAR GPS. | Публічні метадані | Avenida Independencia, La Habana 10400 |
| 12 зіставлених ідентифікаторів Google Analytics | Урядові сайти | Міжсайтове відстеження та відображення зв’язків |
Облікові дані та секрети
Розкриті облікові дані, хеші паролів, ключі API і PII в обох оцінюваннях
V1 — Державна інфраструктурна колекція
131 домен у 20 категоріях — січень 2026 р
V2 — GAESA та глибока інфраструктура
2052 домени — військовий конгломерат, університет GitLab, банківська справа APIs — березень 2026 р.