הממשלה ללא נעילה — האיטי ביקורת OSINT

סטטיסטיקת מסע פרסום

סיור פסיבי אחד נגד אחוזת האינטרנט הממשלתית של האיטי - משרדים, גופי פיקוח פיננסיים, מנגנון האבטחה ותת-דומיינים שהתגלו בשקיפות תעודות - הניב את התוצאות המצטברות הבאות. כל בקשה הייתה HTTP לא מאומתGET. לא נעשה שימוש באישורים. לא נפרצו מערכות.

710 MB נאספו ראיות

50+ .gouv.ht תחומים נבדקים

3,233 PII של מועמדי המכס

6 חשיפות קריטיות

227 מסמכים מנותחים

1,365 תמונות EXIF-Scanned

194 קבצי API לא מאומתים

18 זהויות ממשלתיות חשופות

זה התחיל עם רישום ספרייה

לא היה ניצול. הייתה כתובת URL.

curl -s https://civitax.gouv.ht/

civitax.gouv.ht is Haiti's municipal tax administration application — the system that handles property census (Recensement) and tax billing (Bordereau) records for citizens. The server did not return a login wall. It returned a full directory listing of the entire application: source files, report pages, statistics modules, security-administration pages (Edit_User, GroupRights), and downloadable .rar archives of the Recensement and Bordereau modules.

The application runs Telerik UI v2013.3.1015.40 — a component stack vulnerable to CVE-2017-9248 (cryptographic weakness) and CVE-2019-18935 (unauthenticated remote code execution). The Telerik DialogHandler.aspx endpoint answered with 200 OK. The IIS trace.axd handler existed. What is supposed to be a controlled government tax system was, in practice, an open filing cabinet with the drawer already pulled out.

לא נדרש אימות. שום ניצול לא הופעל. אינדקס הספרייה היה ציבורי לפי תצורה - או ברשלנות. מנקודת מבטו של האזרח, ההבדל אינו משנה.

יעדים מוערכים

החקירה סחפה את האחוזה הממשלתית של האיטי בשכבות: 13 תחומי משרד, 15 סוכנויות פיננסיות ופיקוח, 9 תחומים צבאיים ובטחוניים, 13 תת-דומיינים של שקיפות תעודות שלא הוערכו בעבר, ו-20 יעדי דואר מסוג cPanel / גילוי אוטומטי. הממצאים להלן הם אלו החשובים.

civitax.gouv.ht

בקשה לאומית למיסוי עירוני - קריטי

רשימת ספרייה מלאה של כל בקשת המס חשופה. Telerik UI 2013 עםCVE-2017-9248ו-CVE-2019-18935(RCE לא מאומת). ארכיוני RAR להורדה של המודולים Recensement (מפקד נכסים) ו-Bordereau (חיוב מס). דפי ניהול אבטחה נגישים ללא אימות.

pnh.gouv.ht

Police Nationale d'Haiti - תחום נחטף

תחום המשטרה הארצית הרשמי אינו משרת עוד את המשטרה הארצית. הוא משרת פלטפורמת הונאה"Cash Rocket / smocup-cashads". תעודת TLS מונפקת ל-cashads.smocup.site, לא ל-pnh.gouv.ht. תחום אכיפת חוק לאומי עבר ייעוד שקט עבור הונאה.

agdmail.douane.gouv.ht

דואר של רשות המכס (AGD) — Microsoft Exchange 2016 חשוף

שרת Microsoft Exchange 2016 חשוף במלואו (בניית15.1.2507.61, IIS/10.0) מול דואר אלקטרוני של מכס האיטי. ניתן להגיע לגילוי אוטומטי. מכל הדומיינים שנבדקו, רק המכס מפרסם מדיניות דחייה של DMARC - השאר לא אוכפים כלום.

mde.gouv.ht

משרד לאיכות הסביבה - קריטי (נטילת תוכנות)

הפעלתJoomla 3.8.7- שוחרר באפריל 2018 ולא תוקן במשך כשמונה שנים - מאחורי nginx/1.26.3. מערכת CMS לא מתוחזקת כל כך ישנה בשירות חי היא הזמנה קבועה.

md.gouv.ht

משרד - ספירת משתמשי וורדפרס + נתוני גיוס

API מלא של WordPress REST עם ספירת משתמשים, 168 קבצי מדיה, 22 פוסטים, XML-RPC מופעל עם 80+ שיטות. טפסי הרשמה לצבא, מערכת ניוזלטר עובדים ורשימות זכאות למועמדים הנגישים לציבור באמצעות ממשק API של REST. התוסף Code Snippets (ביצוע PHP שרירותי) ואימות סיסמה של יישום מופעלים.

mpce.gouv.ht

משרד התכנון - גבוה

WordPress 6.9.1 + ערכת נושא Divi לילד ב-Apache, מגיבה ל-200עם משטח אינספור. אחד משישה תחומי משרד חיים מתוך שלושה עשר שנבדקו; שבעת האחרים אינם פותרים ב-DNS ציבורי כלל.

3,233 אזרחים בגיליון אלקטרוני אחד

החפץ היחיד המזיק ביותר לא היה מסד נתונים. זה היה קובץ ציבורי באתר המכס:DOUANE-GOUV/downloads/Liste-des-candidats-retenus.xlsx- הרשימה המלאה של3,233 מועמדים שנשמרו לבחינת מכס האיטי (AGD)נושאת נתונים אישיים מלאים, כל אחד מהם.

Code         | Last Name  | First Name   | Sex | Phone            | Department
OE12AG7570   | Abdon      | Gerald       | M   | (+509) 5544-6924 | OUEST
OE12AO1940   | Abel       | Osmane       | M   | (+509) 4019-1719 | OUEST
ND18AC1872   | ABEL       | CAMY         | M   | (+509) 3259-5650 | NORD_EST

תאום כתוב (Liste-des-candidats-retenus-no_phone.xlsx) קיים באותו שרת - מה שמוכיח שהמוציא לאור ידע שמספרי הטלפון רגישים, ואז פרסם את הגרסה שהכילה אותם בכל מקרה.

על פני קורפוס המסמכים הרחב יותר, ODINT ניתוח227 מסמכיםו-EXIF סרוקות1,365 תמונותששוחזרו מנקודות קצה ממשלתיות ציבוריות. התשואה המצטברת: 59 כתובות דוא"ל ייחודיות, אלפי מספרי טלפון, מזהי מס של NIF, אנשים עם שם, קובצי PDF של תקציב וחוק כספים ונתוני תפעול של המכס (טבלאות קודי מכולה, נמל ומחסן של SYDONIA - כולל הפניה לנמל בינלאומי של 895 שורות). 18 משתמשי וורדפרס, מחברים ומגיבים נספרו ברחבי הבנק המרכזי (brh.ht), מנהלת המס (dgi.gouv.ht, שבה רשום חשבון Gmail אישי כמחבר), וסוכנויות אחרות, כל אחת עם ה-Gravatar Hash הציבורי שלה.

מדינה על אירוח משותף

הממצא המבני אינו פגיעות אחת - זו הארכיטקטורה. ממשלת האיטי פועלת על אירוח משותף לסחורות. אתרי משרד ואתרי פיקוח של ODINT עם טביעת אצבע עלBluehost,SiteGroundו-Hostingerתוכניות משותפות, כמה מהם מדליפים את מקור האירוח שלהם דרך כותרות מארח מקודדות base64. וורדפרס 6.9.1 חוזר על פני סוכנויות לא קשורות, מה שמציע מתחזק או תבנית משותפים. מהעיזבון הפיננסי והפיקוח, 10 מתוך 15 דומיינים היו פעילים (חמישה וורדפרס, שני Laravel, אחד מאוקטובר CMS, אחד IIS/ASP.NET עם גילוי נתיב שגיאה מפורט). מתוך תשעה תחומים צבאיים ובטחוניים, שבעה אינם קיימים ב-DNS ציבורי - היקף האבטחה הדיגיטלי של מדינת האיטי פשוט נעדר, במידה רבה.

כאשר תחום משטרה ארצי ניתן להצביע מחדש בשקט על פלטפורמת הונאה ואף אחד לא שם לב, הבעיה היא לא תיקון חסר. הבעיה היא שאף אחד לא מחזיק במפתחות.

נתונים גולמיים והורדות

כל העדויות שנאספו הועברו לארכיון וזמינות עבור חוקרים, עיתונאים וארגוני חברה אזרחית דרך שרת הנתונים של ODINT. הארכיון שפורסם מכיל את הלכידות לפי סוכנות ואת דוחות הסיור האנליטיים; כלי הספירה המשמשים לאיסוף זה מונעים בכוונה.

האיטי - אוסף מלא - ארכיון OSINT מלא, כל הסוכנויות והדוחות

לְדַפדֵף

דוח מחדש - סיור פסיבי של תשתית האינטרנט של משרד ליבה

נוֹף

תוצאות הסחת המשרד - 13 תחומי משרד נבדקו, 6 חיים

נוֹף

פיננסי ופיקוח סוויפ - 15 דומיינים של סוכנות פיננסית/פיקוח

נוֹף

מטאטא צבאי ואבטחה - 9 תחומים צבאיים/ביטחוניים כולל. חטיפת pnh.gouv.ht

נוֹף

איתור תת-דומיין בעל ערך גבוה - יעדי שקיפות תעודות כולל. civitax.gouv.ht

נוֹף

FAES & civitax Probe - דוח בדיקת יעד בעל ערך גבוה

נוֹף

cPanel & Recon של אימייל - תשתית דואר כולל. חילופי מכס 2016

נוֹף

Tech Stack Scan - טביעות אצבע של CMS, שרת ומסגרת

נוֹף

ניתוח הפוך של Gravatar - פתרון זהות מ-hashs ציבוריים של Gravatar

נוֹף

מסמך דוח PII - 227 מסמכים מנותחים, ממצאי PII משולבים

נוֹף

דוח ראשי של PII - חילוץ PII מצטבר מנקודות קצה ציבוריות של API

נוֹף

DGI - מנהלת המסים - לכידת Direction Generale des Impots

לְדַפדֵף

דואן - מכס (AGD) - לכידות מכס כולל. סט מסמכים מועמדים

לְדַפדֵף

civitax - אפליקציית מס עירוני — לכידות מודול של Recensement & Bordereau

לְדַפדֵף

BRH - הבנק המרכזי - לכידת Banque de la Republique d'Haiti

לְדַפדֵף

MD - משרד - וורדפרס REST API + לכידת מדיה

לְדַפדֵף

דוא"ל וטלפונים של מסמכים - חילצו מזהי אנשי קשר מהקורפוס

נוֹף

לכידת משרד וסוכנות - DINEPA, MSPP, MENFP, MICT, MPCE, ONI, IGF, MAE, Primature

לְדַפדֵף

דוח EXIF - מטא נתונים מ-1,365 תמונות סרוקות

נוֹף

Web.config סריקה - בדיקת חשיפה לתצורת ASP.NET

לְדַפדֵף

אינדקס מפת האתר של Yoast - מבנה מפת אתר שנלכד

נוֹף

ויתור של OSINT

דוח זה מבוסס כולו על מודיעין בקוד פתוח (OSINT). אין גישה למידע מסווג. לא נעשה שימוש במקורות חסויים. לא נפרצו מערכות. שום מנגנוני אימות לא עקפו. כל הנתונים שהוזכרו בחקירה זו היו זמינים לציבור והוגשו ללא בקרות גישה בזמן האיסוף.

כל נקודת קצה שתוארה כאן הגיבה לבקשות HTTPGETלא מאומתות. לא נדרשו או השתמשו בסיסמאות, אסימונים או אישורים מכל סוג שהוא. כלי הספירה ששימשו לאיסוף ראיות אלה נמנעו מהארכיון הציבורי; רק החומר שנתפס והדוחות האנליטיים מתפרסמים.

הידור 2026 - סיווג: OSINT - קוד פתוח
מצפה הכוכבים לתשתית דיגיטלית ושקיפות רשת (ODINT)