← Back to Cyber Tours

O governo sem bloqueio

Uma auditoria OSINT passiva em todo o país da infraestrutura.gouv.htdo Haiti mapeou mais de 50 domínios governamentais, 710 MB de evidências, uma aplicação fiscal nacional aberta, 3.233 registros de cidadãos e um domínio sequestrado da Polícia Nacional. Nada foi forçado. Nada estava trancado.

Pela Equipe de Investigação ODINT – 2026

Visualizações:...

.GOUV.HT HAITI 3.233 REGISTROS DE PII Investigação OSINT

Estatísticas de campanha

Uma única varredura passiva de reconhecimento contra o património web do governo do Haiti – ministérios, órgãos de supervisão financeira, o aparelho de segurança e subdomínios descobertos pela transparência dos certificados – produziu os seguintes resultados agregados. Cada solicitação era um HTTPGETnão autenticado. Nenhuma credencial foi usada. Nenhum sistema foi violado.

710 MB Evidências coletadas
50+ Domínios .gouv.ht investigados
3,233 PII dos Candidatos Aduaneiros
6 Exposições Críticas
227 Documentos analisados
1,365 Imagens digitalizadas por EXIF
194 Arquivos API não autenticados
18 Identidades governamentais expostas
Arquivo completo de evidências brutas Navegue pela coleção completa do OSINT do Haiti — capturas por agência, relatórios de reconhecimento e corpus de documentos/PII — no servidor de dados do ODINT.
Navegar no arquivo

Tudo começou com uma listagem de diretório

Não houve exploração. Havia um URL.

curl -s https://civitax.gouv.ht/

civitax.gouv.hté o aplicativo de administração tributária municipal do Haiti — o sistema que gerencia registros de censo de propriedade (Recensement) e cobrança de impostos (Bordereau) para os cidadãos. O servidor não retornou uma parede de login. Ele retornou uma listagem completa do diretóriode todo o aplicativo: arquivos de origem, páginas de relatório, módulos de estatísticas, páginas de administração de segurança (Edit_User,GroupRights) e arquivos.rarpara download dos módulos Recensement e Bordereau.

O aplicativo executaTelerik UIv2013.3.1015.40– uma pilha de componentes vulnerável aCVE-2017-9248(fraqueza criptográfica) eCVE-2019-18935(execução remota de código não autenticada). O endpoint TelerikDialogHandler.aspxrespondeu com200 OK. O manipulador IIStrace.axdexistia. O que deveria ser um sistema tributário governamental controlado era, na prática, um arquivo aberto com a gaveta já puxada.

Nenhuma autenticação foi necessária. Nenhuma exploração foi implantada. O índice do diretório era público por configuração — ou por negligência. Do ponto de vista do cidadão, a diferença não importa.

Metas avaliadas

A investigação varreu o patrimônio do governo do Haiti em camadas: 13 domínios ministeriais, 15 agências financeiras e de supervisão, 9 domínios militares e de segurança, 13 subdomínios de transparência de certificados nunca avaliados anteriormente e 20 alvos de correio cPanel/autodiscover. As descobertas abaixo são as que importam.

civitax.gouv.ht
Solicitação de Imposto Municipal Nacional – CRÍTICO
Listagem completa do diretório de toda a aplicação fiscal exposta. Telerik UI 2013 comCVE-2017-9248eCVE-2019-18935(RCE não autenticado). Arquivos RAR para download dos módulos Recensement (censo imobiliário) e Bordereau (cobrança de impostos). Páginas de administração de segurança acessíveis sem autenticação.
pnh.gouv.ht
Police Nationale d'Haiti — DOMÍNIO SEQUESTRADO
O domínio oficial da Polícia Nacional já não serve a Polícia Nacional. Ele atende uma plataforma fraudulenta"Cash Rocket / smocup-cashads". O certificado TLS é emitido paracashads.smocup.site, não parapnh.gouv.ht. Um domínio nacional de aplicação da lei foi discretamente reaproveitado para fins de fraude.
agdmail.douane.gouv.ht
Correio da Autoridade Aduaneira (AGD) - Microsoft Exchange 2016 EXPOSTO
Um servidor Microsoft Exchange 2016 totalmente exposto (compilação15.1.2507.61, IIS/10.0) direcionado ao e-mail da Alfândega do Haiti. Descoberta automática acessível. De todos os domínios investigados, apenas a Alfândega publica uma política de rejeição DMARC – os restantes não impõem nada.
mde.gouv.ht
Ministério do Meio Ambiente - CRÍTICO (abandonware)
ExecutandoJoomla 3.8.7– lançado em abril de 2018 e sem patch por cerca de oito anos – atrás do nginx/1.26.3. Um CMS não mantido tão antigo em um ministério ao vivo é um convite permanente.
md.gouv.ht
Ministério - Enumeração de usuários WordPress + dados de recrutamento
API REST completa do WordPress com enumeração de usuários, 168 arquivos de mídia, 22 postagens, XML-RPC habilitado com mais de 80 métodos. Formulários de inscrição militar, um sistema de boletim informativo para funcionários e listas de elegibilidade de candidatos acessíveis publicamente por meio da API REST. O plugin Code Snippets (execução arbitrária de PHP) e a autenticação de senha do aplicativo estão habilitados.
mpce.gouv.ht
Ministério do Planejamento – ALTO
Tema filho WordPress 6.9.1 + Divi no Apache, respondendo200com uma superfície enumerável. Um dos seis domínios de ministério ativo entre treze investigados; os outros sete não resolvem em DNS público.

3.233 cidadãos em uma planilha

O artefato mais prejudicial não foi um banco de dados. Era um arquivo público no site da Alfândega:DOUANE-GOUV/downloads/Liste-des-candidats-retenus.xlsx— a lista completa de3.233 candidatos retidos para o exameda Alfândega do Haiti (AGD), cada linha contendo dados pessoais completos.

Code         | Last Name  | First Name   | Sex | Phone            | Department
OE12AG7570   | Abdon      | Gerald       | M   | (+509) 5544-6924 | OUEST
OE12AO1940   | Abel       | Osmane       | M   | (+509) 4019-1719 | OUEST
ND18AC1872   | ABEL       | CAMY         | M   | (+509) 3259-5650 | NORD_EST

Um gêmeo redigido (Liste-des-candidats-retenus-no_phone.xlsx) existe no mesmo servidor – provando que o editor sabia que os números de telefone eram confidenciais e, de qualquer maneira, publicou a versão que os continha.

Em todo o corpus documental mais amplo, o ODINT analisou227 documentosedigitalizados por EXIF ​​1.365 imagensrecuperadas de endpoints públicos do governo. O rendimento agregado: 59 endereços de e-mail exclusivos, milhares de números de telefone, identificadores fiscais NIF, indivíduos nomeados, PDFs de orçamento e legislação financeira e dados operacionais aduaneiros (tabelas de códigos de contêineres, portos e armazéns SYDONIA - incluindo uma referência de porto internacional de 895 linhas). Dezoito usuários, autores e comentaristas do WordPress foram enumerados no banco central (brh.ht), na diretoria tributária (dgi.gouv.ht, onde uma conta pessoal do Gmail é registrada como autor) e em outras agências, cada uma com seu hash público do Gravatar.

Um estado de hospedagem compartilhada

A descoberta estrutural não é uma vulnerabilidade única – é a arquitetura. O governo do Haiti funciona com base em hospedagem compartilhada. ODINT detectou sites de ministério e supervisão emBluehost,SiteGroundeHostingerplanos compartilhados, vários deles vazando sua origem de hospedagem por meio de cabeçalhos de host codificados em base64. O WordPress 6.9.1 é recorrente em agências não relacionadas, sugerindo um mantenedor ou modelo compartilhado. Do patrimônio financeiro e de supervisão, 10 dos 15 domínios estavam ativos (cinco WordPress, dois Laravel, um CMS de outubro, um IIS/ASP.NET com divulgação detalhada do caminho de erro). Dos nove domínios militares e de segurança, sete não existem no DNS público – o perímetro de segurança digital do estado haitiano está, em grande parte, simplesmente ausente.

Quando um domínio da polícia nacional pode ser silenciosamente redirecionado para uma plataforma fraudulenta e ninguém percebe, o problema não é a falta de um patch. O problema é que ninguém está segurando as chaves.

Dados brutos e downloads

Todas as evidências coletadas foram arquivadas e estão disponíveis para pesquisadores, jornalistas e organizações da sociedade civil através do servidor de dados do ODINT. O arquivo publicado contém as capturas por agência e os relatórios analíticos de reconhecimento; as ferramentas de enumeração usadas para coletá-lo são intencionalmente retidas.

Haiti — Coleção Completa — Arquivo OSINT completo, todas as agências e relatórios
Navegar
Relatório de reconhecimento — Reconhecimento passivo da infraestrutura web central do ministério
Visualizar
Resultados da varredura ministerial — 13 domínios ministeriais investigados, 6 ativos
Visualizar
Varredura Financeira e de Supervisão — 15 domínios de agências financeiras/de supervisão
Visualizar
Varredura militar e de segurança — 9 domínios militares/de segurança, incl. sequestro pnh.gouv.ht
Visualizar
Recon de subdomínio de alto valor — Metas de transparência de certificados, incl. civitax.gouv.ht
Visualizar
Sonda FAES e civitax — Relatório de investigação de alvo de alto valor
Visualizar
cPanel e reconhecimento de e-mail — Infraestrutura postal, incl. Bolsa Aduaneira 2016
Visualizar
Varredura de pilha de tecnologia — Impressões digitais de CMS, servidor e estrutura
Visualizar
Análise reversa do Gravatar — Resolução de identidade de hashes públicos do Gravatar
Visualizar
Relatório de PII do documento — 227 documentos analisados, resultados combinados de PII
Visualizar
Relatório mestre de PII — Extração agregada de PII de endpoints de API públicos
Visualizar
DGI — Direcção Fiscal — Capturas da direção Generale des Impots
Navegar
Douane - Alfândega (AGD) — Capturas alfandegárias incl. conjunto de documentos candidatos
Navegar
civitax — Aplicativo de Imposto Municipal — Capturas do módulo Recensement & Bordereau
Navegar
BRH – Banco Central — Capturas do Banque de la Republique d'Haiti
Navegar
MD - Ministério — API REST do WordPress + capturas de mídia
Navegar
E-mails e telefones de documentos — Identificadores de contato extraídos do corpus
Visualizar
Capturas de Ministério e Agência — DINEPA, MSPP, MENFP, MICT, MPCE, ONI, IGF, MAE, Primature
Navegar
Relatório EXIF — Metadados de 1.365 imagens digitalizadas
Visualizar
Verificação do Web.config — Sonda de exposição de configuração ASP.NET
Navegar
Índice do mapa do site Yoast — Estrutura do mapa do site capturada
Visualizar

Isenção de responsabilidade OSINT

Este relatório é inteiramente baseado em inteligência de código aberto (OSINT). Nenhuma informação confidencial foi acessada. Nenhuma fonte confidencial foi usada. Nenhum sistema foi violado. Nenhum mecanismo de autenticação foi ignorado. Todos os dados referenciados nesta investigação estavam disponíveis publicamente e eram servidos sem controles de acesso no momento da coleta.

Cada endpoint descrito aqui respondeu a solicitações HTTPGETnão autenticadas. Nenhuma senha, token ou credencial de qualquer tipo foi exigida ou usada. As ferramentas de enumeração utilizadas para recolher estas provas foram retidas do arquivo público; apenas o material capturado e os relatórios analíticos são publicados.

Compilado em 2026 — Classificação: OSINT — Código Aberto
Observatório de Infraestrutura Digital e Transparência de Redes (ODINT)

© 2026 Observatory for Digital Infrastructure and Network Transparency.
501(c)(3) Public Charity · EIN 41-4306936 · Donations tax-deductible to the fullest extent allowed by law.

Home · Privacy · Terms

Donate