Статистика кампанії
Дві одночасні операції OSINT — Crystal Vault (федеральний API перелік) і a .git рекламна кампанія — проти мексиканського уряду, академічних, медіа та інфраструктури на державному рівні дали наступні сукупні результати.
64 ГБ
Федеральні дані Mirrored
17
Живі набори облікових даних
186 млн+
Приблизні записи
177
Федеральні агентства викрито
520 тисяч+
Критичні PII записи
37+
Особи розробника
7
Git Repos виявлено
4,968
Gravatar Хеші
Повний інтерактивний звіт про оцінювання
Ознайомтеся з повною оцінкою урядової інфраструктури Мексики з інтерактивними діаграмами та детальними розбивками.
Переглянути звіт
Одна команда Curl
Все почалося з одного рядка в терміналі.
curl -s https://repodatos.atdt.gob.mx/api_update/
Відповідь не була помилкою. Це не була сторінка входу. Це був а каталог із 177 федеральними агентствами — кожен набір даних, опублікований кожним міністерством, регулятором і державним органом, підключеним до національної платформи відкритих даних Мексики.
ATDT — те Agencia de Transformación Digital y Telecomunicaciones (Агентство цифрової трансформації та телекомунікацій) — це централізований технологічний підрозділ уряду Мексики. Він керує федеральним сховищем даних на repodatos.atdt.gob.mx, платформа, розроблена для агрегування та розповсюдження наборів даних від усієї виконавчої влади. API був у прямому ефірі. Кінцеві точки були проіндексовані. Не було ні автентифікації, ні обмеження швидкості, ні будь-якого контролю доступу.
Кожна папка агентства містила структуровані метадані, прямі посилання на файли CSV і в багатьох випадках повні API карти з описом усіх доступних кінцевих точок і параметрів. Те, що мало бути контрольованою платформою розповсюдження даних, на практиці являло собою відкриту картотечну шафу зі знятим замком.
Облікові дані не були потрібні. Експлойти не використовувалися. Жодні умови обслуговування не були обійдені. API був публічним задумом — або через недбалість. Результат був той самий.
Цілі скомпрометовані
Сім цілей у федеральному уряді, уряді штату, академічному, виборчому та медіа-секторах були скомпрометовані за двома напрямками: неавтентифікований доступ API і викриття .git/ каталоги на робочих серверах.
repodatos.atdt.gob.mx
Федеральне API — Agencia de Transformación Digital y Telecomunicaciones
Вектор: Автентифікація не потрібна
дані: 64 Гб, 177 агентств
Записи: Приблизно 186 млн.+
Статус: ЩЕ ЖИВА
uaem.mx
Університет — Universidad Autónoma del Estado de Morelos
Вектор: .git експозиція
облікові дані: 2 (MySQL + SMTP)
дані: 960 МБ, 11 605 файлів
ieeq.mx
Державний виборчий орган — Instituto Electoral del Estado de Querétaro
Вектор: .git експозиція
облікові дані: 4 (PostgreSQL + 2 MySQL)
дані: Метадані Git + облікові дані
ss.puebla.gob.mx
Охорона здоров’я штату — Міністерство охорони здоров’я штату Пуебла
Вектор: .git експозиція
облікові дані: 1 (MySQL) + секрет Joomla
дані: WordPress/Конфігурація Joomla
elsiglodetorreon.com.mx
Газета — El Siglo de Torreón
Вектор: .git експозиція
облікові дані: 8 MySQL + SMTP + маркери
дані: Повне джерело програми
fiscalia.durango.gob.mx
Державний обвинувач — Офіс державного прокурора Дуранго
Вектор: .git експозиція
облікові дані: 0 (wp-config ігнорується)
дані: Метадані Git, внутрішній IP
mvs.com
Media Corp — Grupo MVS
Вектор: .git експозиція
облікові дані: 0
дані: 13 файлів, схема корпоративної структури
Критичні PII набори даних
Федеральний API в repodatos.atdt.gob.mx обслуговував набори даних, що містять особисту інформацію для приблизно 186 мільйонів+ записів. Наступні набори даних представляють найбільш чутливі опромінення, упорядковані за ступенем тяжкості.
Записи: ~60,000,000
розмір: 12,3 ГБ
Повні дані реєстру народжень для населення Мексики. Містить особисті ідентифікатори, що охоплюють десятиліття реєстрації актів цивільного стану. Найбільший набір даних PII у колекції.
CURP: [ВИДАЛЕНО] Ім'я: [ВИДАЛЕНО] Дата народження: 1985-03-15 Штат: Халіско
CURP: [ВИДАЛЕНО] Ім'я: [ВИДАЛЕНО] Дата народження: 1992-08-22 Штат: CDMX
CURP: [ВИДАЛЕНО] Ім'я: [ВИДАЛЕНО] Дата народження: 2001-11-07 Штат: Нуево Леон
Записи: ~25,000,000
розмір: 6,1 ГБ
Повні дані реєстру смерті. У поєднанні з записами про народження дає змогу повноцінно відображати особистість померлих мексиканських громадян протягом життєвого циклу — набір даних високої цінності для шахрайства з ідентифікаційною інформацією.
CURP: [ВИДАЛЕНО] Назва: [ВИДАЛЕНО] DOD: 2019-06-11 Причина: [ВИДАЛЕНО]
CURP: [ВИДАЛЕНО] Назва: [ВИДАЛЕНО] DOD: 2021-01-23 Причина: [ВИДАЛЕНО]
CURP: [ВИДАЛЕНО] Назва: [ВИДАЛЕНО] DOD: 2022-09-05 Причина: [ВИДАЛЕНО]
Записи: ~6,000,000
розмір: 1,7 ГБ
CURP (національний ідентифікаційний ключ), RFC (ідентифікаційний податковий номер), повні імена та номери телефонів для персоналу освітніх центрів і контактів по всій Мексиці.
CURP: [ВИДАЛЕНО] RFC: [ВИДАЛЕНО] Ім'я: [ВИДАЛЕНО] Телефон: 33-XXXX-XXXX
CURP: [ВИДАЛЕНО] RFC: [ВИДАЛЕНО] Ім’я: [ВИДАЛЕНО] Телефон: 81-XXXX-XXXX
CURP: [ВИДАЛЕНО] RFC: [ВИДАЛЕНО] Ім'я: [ВИДАЛЕНО] Телефон: 55-XXXX-XXXX
Записи: 464,153
розмір: 69 Мб
RFC (ідентифікаційний податковий номер) + повні імена + фізичні адреси + номери телефонів + адреси електронної пошти. За чутливістю RFC еквівалентний номеру соціального страхування США. Повне розкриття особи для кожної особи в списку.
RFC: XXXX800101XX1 Ім’я: [ВИДАЛЕНО] Телефон: 55-XXXX-XXXX
RFC: XXXX750315XX2 Ім’я: [ВИДАЛЕНО] Електронна адреса: [ВИДАЛЕНО]@gmail.com
RFC: XXXX910422XX3 Назва: [ВИДАЛЕНО] Адреса: [ВИДАЛЕНО], CDMX
Записи: ~100,000
розмір: 22 Мб
Реєстр осіб, які отримують антиретровірусне лікування. Захищена медична інформація найбільш делікатної категорії — вплив створює ризик дискримінації, насильства та соціальної шкоди.
ID пацієнта: [ВИДАЛЕНО] Лікування: Антиретровірусний статус: Активний
ID пацієнта: [ВИДАЛЕНО] Лікування: Антиретровірусний статус: Активний
ID пацієнта: [ВИДАЛЕНО] Лікування: Антиретровірусний статус: Неактивний
Записи: ~2,000,000
розмір: 424 Мб
Національні дані про рівень злочинності з розподілом за муніципалітетами. Детальна статистика злочинності в усіх мексиканських штатах і муніципалітетах від національної системи громадської безпеки.
Муніципалітет: [ВИДАЛЕНО] Тип: Homicidio Doloso Рік: 2023 Кількість: 47
Муніципалітет: [ВИДАЛЕНО] Тип: Robo a Vehiculo Рік: 2023 Кількість: 312
Муніципалітет: [ВИДАЛЕНО] Тип: Secuestro Рік: 2022 Кількість: 8
Записи: ~50,000+
Федеральний реєстр жертв, який веде Виконавча комісія з надання допомоги жертвам (CEAV). Містить записи осіб, зареєстрованих як жертви злочинів на федеральному рівні.
ID жертви: [ВИДАЛЕНО] Злочин: Desaparicion Forzada Штат: Тамауліпас
ID жертви: [ВИДАЛЕНО] Злочин: Homicidio Штат: Герреро
ID жертви: [ВИДАЛЕНО] Злочин: Вимагання Штат: Халіско
Записи: ~700,000
розмір: 175 Мб
Події нелегальної міграції, зафіксовані імміграційними органами Мексики. Вплив ставить під загрозу вразливі верстви населення мігрантів і розкриває моделі примусу.
Ідентифікатор події: [ВИДАЛЕНО] Національність: Гондурас Маршрут: [ВИДАЛЕНО] Рік: 2023
Ідентифікатор події: [ВИДАЛЕНО] Національність: Гватемала Маршрут: [ВИДАЛЕНО] Рік: 2022
Ідентифікатор події: [ВИДАЛЕНО] Національність: Венесуела Маршрут: [ВИДАЛЕНО] Рік: 2023
Записи: ~1,300,000
розмір: 257 Мб
Записи обробки імміграційних документів, включаючи заявки на отримання віз, дозволи та адміністративні процедури в офісах імміграції Мексики.
Tramite: [ВИДАЛЕНО] Тип: Visa Temporal Office: CDMX Статус: Aprobado
Tramite: [ВИДАЛЕНО] Тип: Residencia Permanente Офіс: Канкун Статус: En Proceso
Tramite: [ВИДАЛЕНО] Тип: Permiso Trabajo Office: Tijuana Статус: Aprobado
Записи: ~4,500,000
розмір: 907 Мб
Дані про федеральні закупівлі, включаючи назви постачальників, приблизну загальну вартість контрактів 130 мільярдів доларів США, а також моделі державних закупівель у всіх федеральних агентствах.
Контракт: [ВИДАЛЕНО] Постачальник: [ВИДАЛЕНО] S.A. de C.V. Вартість: 2 450 000 мексиканських песо
Контракт: [ВИДАЛЕНО] Постачальник: [ВИДАЛЕНО] S.A. de C.V. Вартість: 18 700 000 мексиканських песо
Контракт: [ВИДАЛЕНО] Постачальник: [ВИДАЛЕНО] S.A. de C.V. Вартість: 890 000 мексиканських песо
Записи: 809
Повні імена, службові обов’язки та відомості про санкції для федеральних чиновників, офіційно визнаних корумпованими або такими, що порушують правила державної служби. Включає Еміліо Лозоя Остін (PEMEX/Odebrecht).
Назва: [ВИДАЛЕНО] Агентство: PEMEX Санкція: Inhabilitacion Тривалість: 10 років
Назва: [ВИДАЛЕНО] Агентство: CFE Санкція: Destitucion Тривалість: Постійно
Назва: [ВИДАЛЕНО] Агентство: IMSS Санкція: Призупинення Тривалість: 3 роки
Записи: 1,396
Повний реєстр федеральних нотаріусів, включаючи повні імена, номери ліцензій і повні адреси офісів. Нотаріуси є цінними об’єктами для організованої злочинності, яка прагне узаконити придбання власності або підробити корпоративні документи.
Ліцензія: [ВИДАЛЕНО] Назва: Lic. [ВИДАЛЕНО] Офіс: просп. [ВИДАЛЕНО], CDMX
Ліцензія: [ВИДАЛЕНО] Назва: Lic. [ВИДАЛЕНО] Офіс: бул. [ВИДАЛЕНО], Монтеррей
Ліцензія: [ВИДАЛЕНО] Назва: Lic. [ВИДАЛЕНО] Офіс: Calle [ВИДАЛЕНО], Гвадалахара
SAT — 464 153 платники податків
The Servicio de Administración Tributaria (SAT) — Податковий орган Мексики — був єдиним найбільшим джерелом особистої інформації в колекції. Всього п’ять наборів даних 69 Мб структурованих даних розкрив податкові записи майже півмільйона осіб і організацій.
SAT_1_Donatarias
10798 записів
Уповноважені благодійні організації з RFC + офіційна назва + телефон + електронна адреса + фізична адреса + законний представник. Повний реєстр усіх організацій у Мексиці, уповноважених отримувати пожертви, що не оподатковуються.
SAT_3_Sentencias
311 записів
Податкові судимості — особи з RFC, які отримали остаточні вироки за податкові злочини.
SAT_4_Nolocalizados
39 453 записи
Платники податків без місцезнаходження — фізичні та юридичні особи з іменами RFC +, яких SAT не вдалося фізично визначити для цілей примусового виконання.
SAT_5_Фірми
177 807 записів
Остаточні податкові борги — фізичні та юридичні особи з RFC + ПІБ, які мають підтверджені податкові зобов’язання, які не підлягають оскарженню.
SAT_7_Cancelados
120 276 записів
Скасований податковий статус — RFC + імена платників податків, фіскальну реєстрацію яких офіційно скасовано SAT.
464 153 платники податків. Імена, ІПН, адреси, номери телефонів. Подається як плоский CSV з неавтентифікованого API. Одна команда curl на файл.
Викриття заробітної плати UAEM
Експозиція .git на uaem.mx (Universidad Autónoma del Estado de Morelos) відновив 11 605 файлів загальною кількістю 960 МБ робочого вихідного коду, включаючи студентські PII бази даних, каталоги співробітників і повні дані по заробітній платі. Файли заробітної плати показують компенсацію кожні два тижні на загальну суму понад 60 мільйонів мексиканських песо за період (дані за 2019 рік).
Факультет
32,8 млн мексиканських песо
Довіра / Менеджмент
18 мільйонів мексиканських песо
Об'єднана база
8,2 млн MXN
Пенсіонери / Пенсіонери
900 тис. MXN
Усього за двотижневий період
>60 мільйонів мексиканських песо
Додатковий відновлений матеріал з UAEM включає: студентську базу даних PII (SOLICITUD_CONSTANCIAS таблиця з повними іменами, електронними адресами, студентськими квитками, оцінками та спеціалізаціями), довідники співробітників, довідник ІТ-телефонів, система обробки платежів, система електронного голосування, система професійних ліцензій, система отримання ступенів і повна конфігурація Apache із правилами маршрутизації. Єдиний розробник — Рафаель Фрагозо ([email protected], GitHub: norgoth) — мав root-доступ і розгортався безпосередньо у виробництві.
SFP — 809 санкційних посадових осіб
The Secretaría de la Función Pública (SFP) — Міністерство державного управління Мексики — веде офіційний реєстр державних службовців, до яких потрапили санкції. Набір даних, відкритий через ATDT, містить 809 записів федеральних службовців, які були офіційно покарані за корупцію, неналежну поведінку або адміністративні порушення.
Кожен запис включав повне ім’я посадовця, установу, в якій він працював, тип накладеного покарання та тривалість його дискваліфікації з державної служби. Санкції варіювалися від тимчасового відсторонення до постійної заборони на державну роботу.
Серед імен: Еміліо Лозоя Остін, колишній генеральний директор PEMEX (Petróleos Mexicanos), державна нафтова компанія Мексики. Лозоя була в центрі Одебрехтський скандал — операція з хабарництва, що охопила весь континент, за яку платив бразильський будівельний конгломерат 10,5 мільйонів доларів хабара для забезпечення контрактів з PEMEX. Лозоя був заарештований в Іспанії в 2020 році, екстрадований до Мексики та став свідком-співробітником, чиї свідчення причетні до колишніх президентів і високопосадовців.
Список санкцій SFP, по суті, є публічним реєстром усіх федеральних чиновників, яких мексиканський уряд офіційно визнав корумпованими. Те, що він надавався без автентифікації з відкритого API, узгоджується з шаблоном на всій платформі ATDT: дані, які мають реальні наслідки для реальних людей, розглядаються як інформація про погоду.
INDAABIN — 1396 федеральних нотаріусів
The Instituto de Administración y Avalúos de Bienes Nacionales (INDAABIN) — федеральний інститут, відповідальний за оцінку та управління національною власністю — вніс один із найбільш незвичайних наборів даних у колекцію: повний реєстр 1396 федеральних нотаріусів.
Кожен запис містив повне юридичне ім’я нотаріуса, номер ліцензії, адресу офісу та юрисдикцію. Федеральні нотаріуси в Мексиці відіграють важливу роль у операціях з майном, реєстрації бізнесу та юридичних сертифікатах. Їхні особи та місцезнаходження не оголошуються публічно з таким рівнем деталізації — або вони не мали бути.
Виявлення повного нотаріального реєстру створює певний профіль ризику. Нотаріуси є об’єктами примусу з боку організованих злочинних груп, які прагнуть узаконити придбання власності, підробити корпоративні документи або відмити гроші через нерухомість. Масовий список усіх федеральних нотаріусів, адреси їхніх офісів і номерів ліцензій — це не просто адміністративна незручність — це оперативна карта для всіх, хто прагне скомпрометувати нотаріальну систему Мексики.
Кампанія Git Exposure
Відновлено паралельну кампанію експозиції .git 17 живих наборів облікових даних з 6 мексиканських доменів, викрито 37+ ідентифікаторів розробників, і одужав майже 1 ГБ робочого вихідного коду з великого державного університету. У GitHub, GitLab, Bitbucket і внутрішніх екземплярах Gitea було виявлено сім сховищ Git.
Набори облікових даних охоплюють державний виборчий інститут (виборча інфраструктура), державний департамент охорони здоров’я, великий університет зі студентом PII і велику газету. Було визначено три зовнішні IP-адреси з підключеними службами бази даних: 104.45.237.221 (Azure, IEEQ), 187.191.76.50 (комунікації IEEQ) і 52.117.172.166 (IBM Cloud, El Siglo). Усі облікові дані було знайдено у закріпленому вихідному коді, що вказує на системну помилку використання змінних середовища або управління секретами в установах Мексики.
Прокуратура штату Дуранго (fiscalia.durango.gob.mx) запускає одну установку WordPress. 24 сайти державних установ включаючи Fiscalia, DIF, освіту, охорону здоров'я, громадську безпеку, цивільний захист і SIPINNA (добробут дітей). Він працює з RevSlider CVE-2022-0441 (CVSS 9.8, обхід автентифікації) і CVE-2014-9734 (включення файлу). Плагіни безпеки не встановлено. XML-RPC увімкнено.
Необроблені дані та завантаження
Усі зібрані дані було заархівовано та доступно для дослідників, журналістів та організацій громадянського суспільства через сервер даних ODINT.
Мексика V1 — повна колекція — 118 агентств, 1675 CSV, API карти, стеки технологій, дослідження
переглядати
Мексика V1 / API Дамп — Необроблені API відповіді від 162 федеральних агентств
переглядати
Мексика V1 / Tech Stacks — 313 аналізів стеків технологій
переглядати
Мексика V1 / Дослідження — Дослідження та аналітичні файли
переглядати
Звіт про інтерактивне оцінювання — Повний інтерактивний HTML звіт із діаграмами та деталями
Переглянути
Облікові дані — Розкриті облікові дані та маркери автентифікації
переглядати
Хеші — Відновлені хеші паролів і хеш-аналіз
переглядати
Сховище — Fiscalia Durango — Дані прокуратури штату Дуранго
переглядати
Сховище — ATDT RepoDatos — Дампи федерального сховища даних
переглядати
Сховище — SS Puebla — Дані Міністерства охорони здоров’я штату Пуебла
переглядати
Сховище — IEEQ — Дані Державного виборчого інституту Керетаро
переглядати
Сховище — UAEM — Університет Автономної Республіки Мексика
переглядати
Сховище — ITSM — Вищий технологічний інститут Місантла
переглядати
Сховище — El Siglo de Torreón — Дані мексиканського ЗМІ + API
переглядати
Сховище — MVS / Radio Centro — Дані мексиканського медіаконгломерату
переглядати
Сховище — OSINT Звіти — Складав розвідувальні звіти з цілей сховища
переглядати
Сховище — Цілі — Перерахування цілей і дані сканування
переглядати
Сховище — Журнали — Збережено журнали програми та сервера
переглядати
Висновки безпеки — Розкриття вразливостей і неправильне налаштування
Переглянути
Глосарій HTML — Захоплені сторінки урядового глосарію
переглядати
OSINT Відмова від відповідальності
Цей звіт повністю базується на даних відкритого джерела (OSINT). Доступу до секретної інформації не було. Жодні конфіденційні джерела не використовувалися. Жодна система не була зламана. Жоден механізм автентифікації не обійшов. Усі дані, згадані в цьому розслідуванні, були загальнодоступними та надавалися без контролю доступу на момент збору.
Платформа ATDT за адресою repodatos.atdt.gob.mx обслуговував усі дані через неавтентифіковані кінцеві точки HTTP. Для доступу до наборів даних, описаних у цьому звіті, не вимагалися й не використовувалися жодні паролі, токени чи облікові дані будь-якого роду.
Складено 2026 — Класифікація: OSINT — Відкритий код
Обсерваторія цифрової інфраструктури та прозорості мережі (ODINT)