إحصائيات الحملة
أدى تحقيق OSINT - الاستطلاع السلبي في يناير 2026، يليه التعداد النشط وجمع البيانات API في 25 فبراير 2026 - الذي استهدف البنية التحتية الرقمية للحكومة الألبانية، إلى النتائج التالية.
السياق: الدولة الرقمية الطموحة في ألبانيا
أمضت ألبانيا العقد الماضي في بناء واحدة من أكثر البنى التحتية الحكومية الرقمية طموحًا في أوروبا الشرقية. الوكالة الوطنية لمجتمع المعلومات — أكشي (وكالات التجارة والتسوق هي معلومات) - تدير شبكة تربط 220 مؤسسة حكومية، وتستضيف 380 موقعًا إلكترونيًا حكوميًا، وتشغل أكثر من 600 خدمة إلكترونية للمواطنين، وتحتفظ بـ CSIRT مخصص لعمليات الأمن السيبراني. ألبانيا في المرتبة 14 عالميا في مؤشر نضج GovTech 2025 وحصلت على اعتراف الأمم المتحدة كنموذج للتحول الرقمي.
كما أن البلاد عضو في منظمة حلف شمال الأطلسي وتسعى بنشاط للحصول على عضوية الاتحاد الأوروبي، ومن المقرر أن ينضم إليها عام 2030. وقد حددت بروكسل الفساد باستمرار باعتباره العقبة الرئيسية. وكان رد ألبانيا، في سبتمبر/أيلول 2025، هو تعيين أول وزير للذكاء الاصطناعي في العالم.
دييلا - سمي من الكلمة الألبانية التي تعني "الشمس" - وهو نظام ذكاء اصطناعي تم تطويره بواسطة AKSHI باستخدام Microsoft Azure وOpenAI. عينها رئيس الوزراء إيدي راما وزيرة دولة للذكاء الاصطناعي بمهمة محددة: "المناقصات العامة ستكون خالية من الفساد بنسبة 100%" في أكتوبر 2025، أعلن راما أن دييلا "حامل بـ 83 مساعدًا رقميًا" سيتم تخصيصهم لكل عضو في البرلمان من الحزب الحاكم لمراقبة الجلسات التشريعية.
"إن الوكالة التي أنشأت الذكاء الاصطناعي لمكافحة الفساد في ألبانيا كانت في حد ذاتها مؤسسة إجرامية. وقد ألقي القبض على مديرها العام ونائبه بعد ثلاثة أشهر من تعيين دييلا، بتهمة تشغيل جماعة إجرامية منظمة للتلاعب في المناقصات الحكومية".
القصة
بدأ هذا التحقيق في يناير 2026 كاستكشاف سلبي: رسم خرائط للبنية التحتية لـ AKSHI وDiella، وتحديد النطاقات الفرعية من خلال شفافية الشهادة، وفحص الأنظمة التي تواجه الجمهور. وكان الاستنتاج الأولي واضحا ومباشرا: كانت البنية التحتية للحكومة الألبانية، وفقا للمعايير الإقليمية، مؤمنة بشكل جيد. تتطلب WAFs في النطاقات الرئيسية، WordPress API مصادقة، ولا توجد بيانات اعتماد مكشوفة في حزمة JavaScript للواجهة الأمامية لـ Diella.
تغير التقييم بالكامل في فبراير/شباط 2026. وعندما انتقل التعداد إلى البرلمان الألباني ــ وهي المؤسسة التي كان من المفترض أن يراقبها "أطفال" دييلا الثلاثة والثمانون الذين يعملون في مجال الذكاء الاصطناعي ــ ظهرت صورة مختلفة. يخدم البرلمان (parlament.al) تطبيق React من صفحة واحدة والذي يبدو، ظاهريًا، وكأنه طريق مسدود: فهو يُرجع HTTP 200 لجميع المسارات، وهو تطبيق SPA كلاسيكي. لكن حزمة جافا سكريبت الرئيسية تحكي قصة مختلفة.
كشف سحب حزمة JS بحجم 355 كيلو بايت وتشغيل استخراج السلسلة عن عنوان URL الأساسي المشفر API: https://kuvendiapi.azurewebsites.net/api. أدى الاستخراج الإضافي من متغيرات حزمة الويب المصغرة إلى إنتاج سبعة أسماء لكيانات OData. استجابت كل نقطة نهاية لطلبات GET غير المصادق عليها. لا توجد رموز مميزة، ولا حدود للمعدل، ولا توجد عناصر تحكم في الوصول من أي نوع.
كانت الواجهة الخلفية للبرلمان الألباني بأكملها API مفتوحة على مصراعيها.
المفارقة عميقة. تم القبض على المديرة العامة لـAKSHI ميرليندا كارشاناج ونائبها في ديسمبر 2025 - بعد ثلاثة أشهر فقط من تعيين دييلا - بتهمة إدارة جماعة إجرامية منظمة داخل الوكالة ذاتها التي عينت وزير مكافحة الفساد التابع لمنظمة العفو الدولية. وقد حدد SPAK (الهيكل الخاص لمكافحة الفساد في ألبانيا) 12 إجراء مناقصة تم التلاعب بها بشكل منهجي. كان البرلمان API مفتوحًا منذ يناير 2022 على الأقل. ودييلا - المدمجة في منصة ألبانيا الإلكترونية، والتي تتمتع بإمكانية الوصول إلى أكثر من 36000 وثيقة حكومية - لم تر أيًا من ذلك.
النتيجة الحاسمة 1 - البرلمان الألباني: غير مصادق عليه API
افتح API نقاط النهاية
| نقطة النهاية | السجلات | مقاس | محتوى |
|---|---|---|---|
| /أنتاريت | 236 | 138 كيلو بايت | سجلات MP — كاملة PII |
| /structurat | — | 274 كيلو بايت | اللجان البرلمانية |
| /aktet | — | 3.1 ميجابايت | القوانين التشريعية والاستجوابات |
| /لاجمت | — | 19.8 ميجابايت | مقالات إخبارية برلمانية |
| /mbledhjet | — | 2.2 ميجا بايت | سجلات الجلسة والاجتماع |
| /documentet | 54,545 عنوان URL | 30.2 ميجابايت | كتالوج المستندات مع عناوين URL المباشرة لـ Azure Blob |
| /يوتيوب/بحث | — | 8 كيلو بايت | وكيل بحث فيديو يوتيوب |
| /abonimet | — | 401 | نقطة النهاية المحمية فقط |
MP PII مكشوف — 236 تسجيلًا
يسجل كل عضو من أعضاء البرلمان البالغ عددهم 236 عضوًا في /anetaret يحتوي الرد على معلومات التعريف الشخصية التالية:
- الاسم القانوني الكامل (الاسم الأول، اسم الأب، اللقب)
- تاريخ الميلاد ومكان الميلاد
- عنوان البريد الإلكتروني الرسمي (@parlament.al)
- الانتماء الحزبي والدائرة الانتخابية
- عنوان URL لصورة الملف الشخصي (مستضاف على Azure Blob Storage)
- روابط وسائل التواصل الاجتماعي (Facebook، Twitter/X، LinkedIn)
- الوضع البرلماني النشط / غير النشط
ويشكل هذا ملفًا كاملاً ومنظمًا عن كل شخص يخدم في الهيئة التشريعية الألبانية - بما في ذلك المعرفات الشخصية ومعلومات الاتصال والانتماءات السياسية. تم جمع البيانات دون تجاوز أي مصادقة أو التحكم في الوصول.
تخزين Azure Blob — 54,545 مستندًا عامًا
ال /dokumentet تقوم نقطة النهاية بإرجاع كتالوج بحجم 30.2 ميجا بايت JSON يدرج كل وثيقة في الأرشيف البرلماني. قائمة الحاويات على kuvendiwebfiles.blob.core.windows.net/webfiles/ معطل - ولكن كل عنوان URL يمكن تعداده مباشرة من خلال استجابة API، ويتم تمكين الوصول العام للقراءة لجميع الكائنات الثنائية الكبيرة الفردية.
| نوع الملف | عدد |
|---|---|
| قوات الدفاع الشعبي | 32,627 |
| جبيغ / جبغ | 18,289 |
| JFIF | 1,768 |
| دوكإكس | 885 |
| وثيقة | 397 |
| XLSX | 392 |
| PNG | 208 |
| XLS | 117 |
ومن بين الوثائق التي تم العثور عليها: جدول رواتب النائب (مندوب باجا) و سجلات فوائد MP (المندوب الدائم) يغطي الفترة 2018-2020 على أساس شهري؛ ال سجل جماعات الضغط (Regjistri elektronik i Lobisteve)؛ سجلات طلبات واستجابات قانون حرية المعلومات الممتدة بين 2018 و2021؛ جداول إنفاق الموازنة وبيانات صندوق الاحتياطي العام؛ الدستور الألباني، والقانون الانتخابي، وقانون الأحوال الشخصية؛ والتقارير البرلمانية السنوية من عام 2013 حتى عام 2019.
تحتوي حزمة JavaScript أيضًا على مرجع داخلي مضمن API في http://134.0.63.165:5000/public - عنوان IP داخلي لا يمكن الوصول إليه من الإنترنت العام، مما يؤكد وجود بنية تحتية خلفية إضافية تتجاوز ما تم الكشف عنه علنًا.
النتيجة الحاسمة 2 – فضيحة فساد أكشي
المفارقة في الأرقام
| الغرض المعلن لدييلا | الواقع |
|---|---|
| "المناقصات العامة ستكون خالية من الفساد بنسبة 100%" | القبض على قيادة أكشي بتهمة التلاعب بالعطاءات |
| وزير منظمة العفو الدولية لمكافحة الفساد من أجل الانضمام إلى الاتحاد الأوروبي | اعتقال مدير الوكالة بعد 3 أشهر من تعيينه |
| أطفال الذكاء الاصطناعي لمراقبة النشاط التشريعي لكل نائب | البرلمان API مفتوح، بدون مصادقة، وكشفت بيانات جميع النواب |
| تم دمجها في أكثر من 36,000 مستند حكومي | المستندات التي تم الوصول إليها عن طريق هذا التحقيق دون أوراق اعتماد |
النتيجة 3 - تحليل الواجهة الأمامية لـ Diella AI
يعتبر الأمن الفني للبنية التحتية الأمامية الخاصة بشركة Diella، بمعزل عن ذلك، كفؤًا. تطبيقات الويب Azure Static، والتكوين الذي يتم إدخاله في وقت التشغيل، وIAM المناسب عبر Keycloak، والبنية التحتية الداخلية المجزأة. لكن التساؤلات الأمنية التي أثارها دييلا ليست فنية في المقام الأول: بل هي تساؤلات مؤسسية. تعرضت الوكالة التي تتحكم في بيانات تدريب دييلا والوصول إلى النظام والمعايير التشغيلية للاختراق من قبل قراصنة الدولة الإيرانيين في عام 2022 وكانت تعمل كمؤسسة إجرامية حتى ديسمبر 2025. كيف تم إنشاء دييلا باستخدام بيانات من الأنظمة المخترقة؟ من كان يراقب الذكاء الاصطناعي لمكافحة الفساد بينما كان مبدعوه يتلاعبون بالمناقصات؟
النتيجة 4 - بوابة البيانات المفتوحة
مجموعات البيانات المتاحة
| مجموعة البيانات | مصدر | مقدار |
|---|---|---|
| المراكز الصحية | أكشي | 400 مركز مع GPS |
| الصيدليات والأدوية | أكشي | 2,289 سجل |
| السجل التجاري (النموذج القانوني) | كيو كي بي | بيانات 2025 + 2026 |
| سجل تجاري (ملكية) | كيو كي بي | بيانات 2025 + 2026 |
| السجل التجاري (المنطقة) | كيو كي بي | بيانات 2025 + 2026 |
| سجل الديون الوطنية 2024 | وزارة المالية | 4 ملفات ربع سنوية |
| بيانات الخزينة | وزارة المالية | 900 توزيع يومي |
| الاستثمارات العامة | وزارة المالية | البيانات الشهرية |
| إحصاءات ألبانيا الإلكترونية 2023 | أكشي | 12 تقرير شهري |
| مستخدمو ألبانيا الإلكترونية 2013-2024 | أكشي | إحصائيات التسجيل السنوية |
| تدفق بريد المطار 2025 | الطيران المدني | إحصائيات شهرية |
مسح أوسع للحكومة الألبانية
تم فحص سبعة عشر نطاقًا حكوميًا ألبانيا خلال مرحلة فبراير 2026. الأغلبية متشددة: Incapsula WAF، استجابات 403/404، لا توجد لوحات إدارية يمكن الوصول إليها. تعداد شهادة الشفافية لل .gov.al أنتجت مساحة النطاق عبر crt.sh 832 نطاقًا ووسعت عدد النطاقات الفرعية المعروفة لـ AKSHI من 50 (يناير) إلى 110 (فبراير)، مما يكشف عن بيئات Jira وRancher وWiki وبيئات الاختبار الداخلية - وكلها خلف DNS داخليًا فقط، ولا يمكن الوصول إليها من الإنترنت العام.
| اِختِصاص | نتيجة | كيان |
|---|---|---|
| e-albania.al | 200 (تصلب) | المنصة الرئيسية للحكومة الإلكترونية |
| akshi.gov.al | WordPress، واف | الوكالة الوطنية لتكنولوجيا المعلومات |
| parlament.al | رد فعل SPA - API مفتوح | البرلمان الألباني |
| kryeministria.al | إنكابسولا واف | مكتب رئيس الوزراء |
| president.al | 403 ممنوع | مكتب الرئيس |
| bankofalbania.org | 403 ممنوع | البنك المركزي |
| klsh.org.al | WordPress، 401 مقوى | الجهاز الأعلى للرقابة المالية |
| pp.gov.al | تحت | النيابة العامة |
| policia.al | تحت | شرطة الولاية |
| mbrojtja.gov.al | تحت | وزارة الدفاع |
| financat.gov.al | تحت | وزارة المالية |
| drejtesia.gov.al | إنكابسولا واف | وزارة العدل |
| arsimi.gov.al | إنكابسولا واف | وزارة التربية والتعليم |
| tatime.gov.al | تحت | مصلحة الضرائب |
| dogana.gov.al | تحت | مصلحة الجمارك |
| dpshtrr.gov.al | 415 (تسجيل المركبات) | رخصة القيادة |
| instat.gov.al | 404 (نظيف) | معهد الإحصاء |
تم اكتشاف أربع بوابات لنظم المعلومات الجغرافية من خلال تعداد crt.sh: geoportal.asig.gov.al (البوابة الجغرافية الوطنية)، instatgis.gov.al (إحصائيات WebGIS)، webgis.arrsh.gov.al (هيئة الطرق)، و webgis.atp.gov.al (التخطيط الإقليمي). لا شيء يعرض نقاط نهاية بيانات GeoServer أو WFS التي يمكن الوصول إليها - جميعها تطبيقات للواجهة الأمامية فقط.
المنظمات مع التنازلات
السياق التاريخي: عقد من التعرض
تعرض البرلمان API لا يوجد بمعزل عن غيره. لقد تعرضت ألبانيا للاختراق بشكل منهجي في كل طبقة من بنيتها التحتية الرقمية على مدى السنوات الخمس الماضية.
| تاريخ | حادثة | حجم |
|---|---|---|
| أبريل 2021 | تسربت قاعدة بيانات الناخبين | 910,000 سجل (∼33% من السكان) |
| ديسمبر 2021 | تسريب قاعدة بيانات الرواتب (واتساب) | 637,138 سجل (22% من السكان) |
| مايو 2021 | حصلت منظمة HomeLand Justice الإيرانية على إمكانية الوصول الأولي إلى AKSHI | 14 شهرًا من الثبات الصامت |
| يوليو 2022 | الهجوم المدمر: برنامج الفدية ROADSWEEP + ممسحة ZeroClear | ألبانيا تجبر الخدمات الحكومية على التوقف عن العمل |
| سبتمبر 2022 | ألبانيا تقطع علاقاتها الدبلوماسية مع إيران | الناتو يدين الهجوم |
| أكتوبر 2022 | تشتبه الشرطة في تسرب قاعدة البيانات عبر Telegram | ∼100000 سجل، 1.7 جيجابايت |
| ديسمبر 2023 | البرلمان + شركة ألبانيا للاتصالات تعرضت للهجوم | ادعى تدمير 2 بيتابايت |
| يناير 2024 | اختراق معهد الإحصاء INSTAT | تمت المطالبة بتسريب أكثر من 100 تيرابايت |
| سبتمبر 2025 | عين دييلا وزيرا لمنظمة العفو الدولية | — |
| ديسمبر 2025 | القبض على مدير عام أكشي بتهمة الفساد | 12 عطاء قيد التحقيق |
| فبراير 2026 | وجد البرلمان API مفتوحًا – هذا التحقيق | 54.545 وثيقة، 236 نائبًا PII |
المجموعة التي ترعاها الدولة الإيرانية وطن العدالة (MITRE ATT&CK C0038، المنسوبة من قبل مكتب التحقيقات الفيدرالي، وCISA، وحلف شمال الأطلسي، وNCSC في المملكة المتحدة إلى وزارة الاستخبارات والأمن الإيرانية) اخترق AKSHI من خلال استغلال CVE-2019-0604 (مايكروسوفت شير بوينت). تم إنشاء الوصول الأولي في مايو 2021، أي قبل أربعة عشر شهرًا من الهجوم المدمر الذي بدأ في يوليو 2022. وخلال تلك الفترة، قام برنامج CHIMNEYSWEEP بتسريب البيانات من الوكالة التي ستتولى فيما بعد إنشاء وزير الذكاء الاصطناعي في ألبانيا.
جرد البيانات
مجموع المجموعة: 251 ميجابايت عبر 1,309 ملف، تم استردادها من نقاط النهاية التي يمكن الوصول إليها بشكل عام والتي لم تتم مصادقتها وعناوين URL الخاصة بـ Azure Blob Storage.
OSINT المنهجية والإشعار القانوني
تم استرداد جميع البيانات في هذا التحقيق من خلال تقنيات OSINT السلبية والإيجابية المطبقة على نقاط نهاية API غير المصادق عليها والتي يمكن الوصول إليها بشكل عام وعناوين URL لـ Azure Blob Storage. لم يتم تجاوز أي مصادقة. لم يتم اختبار أو استخدام أي أوراق اعتماد. لم يتم التحايل على أي ضوابط الوصول. استجاب البرلمان الألباني API لطلبات GET القياسية HTTP دون الحاجة إلى أي شكل من أشكال التعريف أو الرمز المميز.
يتبع هذا التقرير المنهجية القياسية لـ ODINT: يتم تعداد البنية التحتية العامة وتوثيقها والإبلاغ عنها. يتم تقديم PII المجمعة من APIs المفتوحة بشكل إجمالي أو منقوص. يتم الاحتفاظ بالسجلات الأولية PII في وصول مقيد ولا يتم نشرها للعامة. قد يتم منح الوصول إلى مجموعات البيانات المقيدة للصحفيين والباحثين المعتمدين والهيئات الحكومية المتضررة عند الطلب.