Уряд без замка — OSINT-аудит Гаїті

Статистика кампанії

Одна пасивна розвідка урядової мережі Гаїті — міністерств, органів фінансового нагляду, апарату безпеки та субдоменів, які виявляють прозорість сертифікатів — дала наступні сукупні результати. Кожен запит був неавтентифікованим HTTPGET. Облікові дані не використовувалися. Жодна система не була зламана.

710 MB Докази зібрано

50+ Дослідження доменів .gouv.ht

3,233 PII кандидатів у митницю

6 Критичні опромінення

227 Документи проаналізовано

1,365 Зображення, відскановані EXIF

194 Неавтентифіковані файли API

18 Особи уряду викрито

Все почалося зі списку каталогу

Експлойту не було. Там була URL-адреса.

curl -s https://civitax.gouv.ht/

civitax.gouv.ht— це програма муніципального податкового адміністрування Гаїті — система, яка обробляє записи про перепис власності (Recensement) і податкові рахунки (Bordereau) для громадян. Сервер не повернув стіну входу. Він повернув повний список каталогуусієї програми: вихідні файли, сторінки звітів, модулі статистики, сторінки адміністрування безпеки (Edit_User,GroupRights) і доступні для завантаження архіви.rarRecensement і Модулі Бордеро.

Програма запускаєTelerik UIv2013.3.1015.40— стек компонентів, вразливий доCVE-2017-9248(криптографічна слабкість) іCVE-2019-18935(неавтентифіковане віддалене виконання коду). Кінцева точка TelerikDialogHandler.aspxвідповіла200 OK. Існував обробник IIStrace.axd. Те, що мало бути контрольованою державною податковою системою, на практиці було відкритою шафою для документів із уже висунутою шухлядою.

Автентифікація не потрібна. Експлойт не було розгорнуто. Індекс каталогу був загальнодоступним через конфігурацію — або через недбалість. З точки зору громадянина, різниця не має значення.

Цілі оцінені

Розслідування охопило державну власність Гаїті пошарово: 13 доменів міністерств, 15 фінансових і наглядових агентств, 9 військових і безпекових доменів, 13 субдоменів прозорості сертифікатів, які ніколи раніше не оцінювалися, і 20 цілей електронної пошти cPanel / автовизначення. Наведені нижче висновки мають значення.

civitax.gouv.ht

Заявка на сплату національного муніципального податку — КРИТИЧНО

Оголошено повний список усіх податкових заявок. Telerik UI 2013 зCVE-2017-9248іCVE-2019-18935(неавтентифікований RCE). Завантажувані RAR-архіви модулів Recensement (перепис власності) і Bordereau (виплата податків). Сторінки адміністратора безпеки доступні без автентифікації.

pnh.gouv.ht

Національна поліція Гаїті — ВИКРАДЕНО ДОМЕН

Офіційний домен Національної поліції більше не обслуговує Національну поліцію. Він обслуговує шахрайську платформу"Cash Rocket / smocup-cashads". Сертифікат TLS видаєтьсяcashads.smocup.site, а неpnh.gouv.ht. Національний домен правоохоронних органів було тихо перепрофільовано для шахрайства.

agdmail.douane.gouv.ht

Пошта митного органу (AGD) — Microsoft Exchange 2016 ВИКРИТО

Повністю відкритий сервер Microsoft Exchange 2016 (збірка15.1.2507.61, IIS/10.0), який відкриває електронну пошту митниці Гаїті. Автовиявлення доступне. З усіх досліджуваних доменів лише митниця публікує політику відхилення DMARC — решта нічого не застосовують.

mde.gouv.ht

Міністерство навколишнього середовища — КРИТИЧНО (abandonware)

ПрацюєJoomla 3.8.7— випущений у квітні 2018 року та без виправлень приблизно вісім років — за nginx/1.26.3. Така стара CMS, яка не обслуговується, на живому служінні є постійним запрошенням.

md.gouv.ht

Міністерство — перелік користувачів WordPress + дані про наймання

Повний REST API WordPress із переліком користувачів, 168 мультимедійними файлами, 22 публікаціями, увімкненим XML-RPC із 80+ методами. Форми військового запису, система інформаційних бюлетенів для працівників і списки кандидатів, доступні для загального доступу через REST API. Плагін фрагментів коду (довільне виконання PHP) і автентифікація пароля програми ввімкнено.

mpce.gouv.ht

Мінплан — ВИСОКА

WordPress 6.9.1 + дочірня тема Divi на Apache, яка відповідає200із перелічуваною поверхнею. Один із шести доменів живого служіння з тринадцяти досліджених; інші сім взагалі не вирішують у публічному DNS.

3233 громадянина в одній електронній таблиці

Найбільш шкідливим артефактом була не база даних. Це був загальнодоступний файл на веб-сайті митниці:DOUANE-GOUV/downloads/Liste-des-candidats-retenus.xlsx— повний список3233 кандидатів, які зберігаються для іспиту з митниці Гаїті (AGD), кожен рядок містить повні особисті дані.

Code         | Last Name  | First Name   | Sex | Phone            | Department
OE12AG7570   | Abdon      | Gerald       | M   | (+509) 5544-6924 | OUEST
OE12AO1940   | Abel       | Osmane       | M   | (+509) 4019-1719 | OUEST
ND18AC1872   | ABEL       | CAMY         | M   | (+509) 3259-5650 | NORD_EST

Відредагований двійник (Liste-des-candidats-retenus-no_phone.xlsx) існує на тому ж сервері, що доводить, що видавець знав, що номери телефонів конфіденційні, а потім опублікував версію, яка їх містила.

У ширшому корпусі документів ODINT проаналізував 227 документіві 1365 зображень, відсканованих у форматі EXIF , отриманих із державних державних кінцевих точок. Загальний результат: 59 унікальних адрес електронної пошти, тисячі номерів телефонів, податкові ідентифікатори NIF, імена осіб, PDF-файли з бюджетним і фінансовим законодавством і оперативні дані митниці (таблиці кодів контейнерів, портів і складів SYDONIA — включаючи 895-рядкове посилання на міжнародний порт). Вісімнадцять користувачів WordPress, авторів і коментаторів були перераховані в центральному банку (brh.ht), податковому управлінні (dgi.gouv.ht, де особистий обліковий запис Gmail зареєстрований як автор) та інших установах, кожна зі своїм публічним хешем Gravatar.

Стан спільного хостингу

Структурна знахідка — це не якась окрема вразливість — це архітектура. Уряд Гаїті працює на спільному хостингу. Міністерські та наглядові сайти з відбитками пальців ODINT наBluehost,SiteGroundіHostingerподілилися планами, деякі з яких розкрили походження свого хостингу через заголовки хостів, закодовані в base64. WordPress 6.9.1 повторюється між непов’язаними агентствами, пропонуючи спільного супроводжуючого або шаблон. З фінансового та наглядового майна 10 із 15 доменів були активними (п’ять WordPress, два Laravel, один October CMS, один IIS/ASP.NET із детальним розкриттям шляхів помилок). З дев’яти військових і безпекових доменів сім не існують у загальнодоступній DNS — цифровий периметр безпеки штату Гаїті здебільшого просто відсутній.

Коли домен національної поліції можна мовчки перенаправити на платформу шахрайства, і ніхто цього не помічає, проблема полягає не у відсутності латки. Проблема в тому, що ніхто не тримає ключі.

Необроблені дані та завантаження

Усі зібрані докази заархівовані та доступні дослідникам, журналістам та громадським організаціям через сервер даних ODINT. Опублікований архів містить повідомленнєві захоплення та аналітичні звіти розвідки; інструменти перерахування, які використовуються для його збору, навмисно приховуються.

Гаїті — повна колекція — Повний архів OSINT, усі агентства та звіти
переглядати

Звіт про розвідку — Пасивна розвідка основної веб-інфраструктури міністерства
Переглянути

Результати міністерської перевірки — 13 доменів міністерства досліджено, 6 живуть
Переглянути

Фінансова та наглядова перевірка — 15 доменів фінансових/наглядових агентств
Переглянути

Військова та безпекова перевірка — 9 військових/охоронних доменів, вкл. pnh.gouv.ht викрадення
Переглянути

Розвідка субдоменів високої вартості — Цілі прозорості сертифікатів, вкл. civitax.gouv.ht
Переглянути

Зонд FAES & civitax — Звіт про зондування високої цілі
Переглянути

cPanel і відновлення електронної пошти — Поштова інфраструктура, вкл. Митна біржа 2016
Переглянути

Сканування технічного стека — CMS, сервер і відбитки фреймворку
Переглянути

Зворотний аналіз Gravatar — Розпізнавання ідентичності з публічних хешів Gravatar
Переглянути

Документ Звіт про ідентифікаційну інформацію — Проаналізовано 227 документів, об’єднані результати ідентифікаційної інформації
Переглянути

Головний звіт PII — Агреговане вилучення ідентифікаційної інформації з публічних кінцевих точок API
Переглянути

DGI — Податкова дирекція — Захоплює напрям Generale des Impots
переглядати

Дуан — Митниця (AGD) — Митні захоплення вкл. набір документів кандидата
переглядати

civitax — додаток для муніципальних податків — Знімки модуля Recensement & Bordereau
переглядати

БРХ — Центральний банк — Захоплення Banque de la Republique d'Haiti
переглядати

MD — Міністерство — WordPress REST API + захоплення медіа
переглядати

Електронні листи та телефони документів — Витягнуті ідентифікатори контактів із корпусу
Переглянути

Захоплення міністерства та агентства — DINEPA, MSPP, MENFP, MICT, MPCE, ONI, IGF, MAE, Primature
переглядати

Звіт EXIF — Метадані 1365 відсканованих зображень
Переглянути

Сканування Web.config — Зонд експонування конфігурації ASP.NET
переглядати

Індекс карти сайту Yoast — Захоплена структура карти сайту
Переглянути

OSINT-відмова від відповідальності

Цей звіт повністю базується на розвідці з відкритих джерел (OSINT). Доступу до секретної інформації не було. Жодні конфіденційні джерела не використовувалися. Жодна система не була зламана. Жоден механізм автентифікації не обійшов. Усі дані, згадані в цьому розслідуванні, були загальнодоступними та надавалися без контролю доступу на момент збору.

Кожна кінцева точка, описана тут, відповідала на неавтентифіковані запити HTTPGET. Жодних паролів, маркерів або облікових даних будь-якого роду не вимагалося та не використовувалося. Інструменти перерахування, які використовувалися для збору цих свідчень, були приховані з публічного архіву; публікуються лише відзняті матеріали та аналітичні звіти.

Складено 2026 — Класифікація: OSINT —
з відкритим кодом Обсерваторія цифрової інфраструктури та прозорості мережі (ODINT)