墨西哥城行政和财政部长 (CDMX) 数据中心基础设施大规模泄露事件

墨西哥城行政和财政部长 (CDMX) 数据中心基础设施大规模泄露事件-全球CTI监控
墨西哥城行政和财政部长 (CDMX) 数据中心基础设施大规模泄露事件
此内容为付费阅读,请付费后查看
会员专属资源
您暂无购买权限,请先开通会员
开通会员
付费阅读
已售 17

事件概述

2026年7月5日,黑客在暗网论坛公开泄露了涉及墨西哥城(CDMX)行政和财政部长 的内部数据中心基础设施全量档案。此次泄露并非单一凭证或少量文件的泄露,而是一次高度结构化的基础设施全景图曝光——涵盖内部网络拓扑、全部生产/开发服务器清单、所有数据库和API服务的明文凭证、GitLab完整代码仓库目录、电子邮件账户密码,以及97份交通违法罚单PDF文件。

20260706001350438-图片

 

泄露核心内容涵盖

  • 52个内部系统的完整配置清单(含IP、框架、版本、用途)
  • 37台服务器的操作系统、IP、VMware虚拟化信息
  • 28个数据库的明文用户名和密码(PostgreSQL/Oracle)
  • 92条API服务端点映射(含RENAPO国家人口登记API、eFirma电子签名API等国家级接口凭证)
  • 10+个API认证Token和OAuth密钥的完全暴露
  • 2个政府电子邮件账户及明文密码
  • 44个内部GitLab仓库的完整目录(含开发者姓名和分支结构)
  • 26个开发中系统(含测试凭证)
  • 97份交通违法罚单PDF(ecoParq停车罚单)
  • 内部可访问的国家级敏感服务:CURP(人口唯一注册码)查询API、电子签名(eFirma)API

风险级别:极高 —— 此次泄露将墨西哥城财政部的整个IT基础设施以”运维手册”级别的详细度完全暴露,攻击者可据此构建从外围渗透到内部横向移动的完整攻击链。更重要的是,泄露的API凭证可直接访问墨西哥国家级敏感服务(人口登记、电子签名),影响远超CDMX单个政府机构。

泄露文件清单

文件 类型 内容 大小
Listado de sistemas, servidores, cuentas de correo.xlsx 基础设施全量清单 6个工作表:系统清单(52行)、IP服务映射(92行)、服务器清单(37行)、数据库清单(28行)、电子邮件账户(2行+)、GitLab项目(44行) 58 KB
Listado de Proyectos.xlsx 项目/系统清单 2个工作表:生产环境系统(12行)、开发中系统(26行) 62 KB
Lineascapturainfracciones.zip 交通违法罚单 97个PDF文件(infraccion_3916~10705),ecoParq停车罚单 34.6 MB

泄露数据深度分析

一、数据中心基础设施全景图(XLSX主文件)

20260706001335117-图片

 

1.1 系统清单(sistemas工作表,52行)

暴露了52个内部系统的完整技术栈信息,关键维度包括:

维度 暴露内容
系统名称 Cajas(财政基金集中管控系统)、Plataforma CDMX(地震平台)、SCD(文件管控系统)、PREVIT、SIVCE(外贸核查)、SSIAP(预算绩效指标跟踪)、RAF、Política Fiscal(收入管控)、AOCT(部长办公系统)等
环境标识 PRO(生产)/ DEV(开发)/ PRUEBAS(测试)清晰标记
内部IP 覆盖 10.1.x.x 全段:10.1.13.x、10.1.126.x、10.1.129.x、10.1.130.x、10.1.181.x、10.1.195.x
公网IP/域名 189.208.102.117189.240.114.213189.249.114.213finanzas.cdmx.gob.mxtics.finanzas.cdmx.gob.mxplataforma.cdmx.gob.mxcartodb.cdmx.gob.mx
技术栈 PHP(多版本)、Perl、Ruby、Java、HTML/CSS/JS、Python
框架 Laravel 5.4/7/8/9、Geoserver、Metronic v7/v8
服务器用户 pavaldesacuevasmromeronsalgadojhgonzalezsistemasdesarrollo

1.2 服务器清单(servidores工作表,37行)

完整暴露了37台物理/虚拟服务器的:

暴露信息 示例
服务器用途 cajas (SICCF)、开发服务器、Plataforma、BD服务器、GeoServer、CartoDB、Psicométricos、SICF-Bancomer、INVENTARIO、SIVCE PRO、SSIAP、control_acceso、SNTI、SIGEC
内部IP 10.1.13.55→10.1.181.15510.1.181.3→10.1.130.7910.1.130.2810.1.126.1310.1.65.11410.1.181.73
操作系统 Fedora Core 2、Ubuntu 12.04/20.04、Debian 9/11/12(多个版本)
虚拟化 VMware,含虚拟机名称(SSIAP_181.73Control_Acceso_181.170Acta_Responsiva_181.110SNTI_181.206SIGEC_181.210
SSH用户/密码 nsalgado:kls2qr824(开发服务器明文凭证)
环境 PRO / DEV 标识

关键发现:暴露了还在运行 Fedora Core 2 (2004年)Ubuntu 12.04 (2012年) 的严重过期操作系统,这些系统早已结束安全支持,存在大量已知漏洞。

1.3 数据库凭证完全暴露(Bases de datos工作表,28行)

这是此次泄露中直接危害性最高的部分——28个数据库的明文用户名和密码全部罗列:

系统 数据库 用户名 明文密码 环境
Cajas PostgreSQL caja c9j8*s74oldQ
Psicométricos PostgreSQL jhgonzalez 12345678
Previt PostgreSQL 12 postgres 5Q54J PROD
Nuevo SAICA PostgreSQL 11.8 usaica s4F.pR0d..S41cA PRO
TUCAP PostgreSQL 11.7 eventuki s4F.3vENt000s5s PRO
SICF Bancomer PostgreSQL 11.7 usicf .s4F.dG4f..$1cF PRO
MAAP 2022 amaap1 amaap1*222*-M PRO
AOCT PostgreSQL aoc aoc956K86h-aoc4*
PILARES pilares l956K8-*4Pila*
SCD Producción scdoc S7.c@d0C8m3nt4l
CASVF (Dev) postgres p3r3z0s0 DEV
Entreganet PRO PostgreSQL actaer s4F.Qa..NtR3Ga. PRO
RAF PRO PostgreSQL raf raf*F2*- PRO
Generador Constancias uconstancias s4f.c0N5t4nc1A$. PRO
Política Fiscal postgres N0rm4t1v1d4d
Informe de Gestión PostgreSQL 11.7 informe 1nfor3.G3stion$2023 PRO
SSIAP Producción PostgreSQL 14.4 ssiap siD04.Dr PRO
Servidor Desarrollo PostgreSQL postgres .s41M3d? DEV
SNTI Producción PostgreSQL 14 snti Cntc_2025_SNT1 PRO

密码模式分析:大量密码遵循 s4F.xxx(或 s4f.xxx)前缀模式——”SAF”是 Secretaría de Administración y Finanzas 的缩写,表明这是机构内部统一的密码策略。此密码模式的暴露使攻击者可推测其他未在列表中系统的潜在凭证。

1.4 API服务端点与Token完全暴露(servicios por IP工作表,92行)

这是此次泄露中影响范围超越CDMX单一机构的关键部分——暴露了可直接访问墨西哥国家级政府服务的API凭证:

API服务 端点 暴露凭证 敏感级别
RENAPO(国家人口登记) curp.cdmx.gob.mx/curp/rest/curp/ Token: F1n4nz445!2020,用户: finanzas 极高
RENAPO (Lalo) tics.finanzas.cdmx.gob.mx/servicios_lc/oauth/token username: api_cados,password: $3rv1c3.Ap1.R3n4p0.C4D0s#,client_id: 11,client_secret: afMuPjWAXdSSU9StWJp9DFCCw3RFgUHEafMuPjWA 极高
RENAPO (SECTEI) 同上OAuth端点 username: api_sectei,password: $3rv1c3.Ap1.R3n4p0.C4D0s# 极高
Capital Humano 10.1.181.9:9003/usuarios/consultaRfcUSerAE Token: UN3JJEPIIG1FSK05FVYR 极高
Proveedores 10.1.181.9:9017/Proveedores/getData* Token: DK3TBCRNGWGKB7FRNKQT
eFirma(电子签名) 10.1.181.25/eFirma/firmaCadena (port :9005) Token: FPRUPRUEBA
eFirma (SCD) 同上 Token: FPREDGTCY2SC2D284ZFWR934P4RP
eFirma (Constancias) 同上 Token: FGCODGTCTBA7MGIVHWDMGIUC5LC7
eFirma (PILARES) 同上 Token: FPILDGTC6GR4BPBMWR38H7KZ932D
Encuestas 10.1.90.4/encuestas/public/ws/*
Normatividad API tics.finanzas.cdmx.gob.mx/servicios_lc/api/cgma/* USER: api_normatividad,PASS: $3rv1c3.Ap1.N0rm4t1v1d4d#
Informe Gestión API 同上 USER: api_informe_gestion,PASS: $3rv1c3.Ap1.1nf0rm3Gest10n
Notificaciones Telegram 10.1.130.13/notificaciones/public/api/notificacion
SEPOMEX(邮政) tics.finanzas.cdmx.gob.mx/servicios_lc/api/sepomex/*

最危险暴露:RENAPO CURP查询API的完全访问凭证。CURP(Clave Única de Registro de Población)是墨西哥全国人口的唯一身份注册码——此API可查询任意墨西哥公民的CURP记录,包含个人身份信息。攻击者获取此API凭证后,可以对墨西哥全国人口进行身份信息批量查询。

eFirma API风险:墨西哥的eFirma(电子签名)具有完全的法律效力,等同于手写签名。API Token的暴露意味着攻击者可利用CDMX财政部的eFirma接口伪造电子签名文件。

1.5 电子邮件账户(Cuentas De Correo工作表)

系统 类型 邮箱 明文密码 工单号 创建日期
SSIAP PRO ssiap@finanzas.cdmx.gob.mx aK518)*bWHTZ 10071956 2023-08-18
SIVCE PRO sivce@finanzas.cdmx.gob.mx L2ji1saZ. 10089734 2024-07-03

这些邮件账户可用于发送钓鱼邮件(伪装成CDMX财政部官方通信)、密码重置其他关联服务、以及访问关联的Microsoft 365/Google Workspace服务。

1.6 GitLab完整代码仓库目录(Proyectos de Git antiguos工作表,44行)

暴露了内部GitLab服务器(git@10.1.181.70)上的44个代码仓库的完整目录:

系统 仓库路径 分支数 涉及开发者
Acta Responsiva jorge.medgal/acta_responsiva.git 5 @lorena.hernandez, @margarita.martinez
AOCT jorge.medgal/aoc.git 3 @thcasimiro, @pjimenez, @noe, @nayeli.cuevasr
SCD 2.0 jorge.medgal/scd2.0.git 11 @laura.rodriguez, @lorena.hernandez, @selma.maritza
SIDURG jorge.medgal/sidgaf.git 18 @margarita.martinez, @ncarbajal, @noe
SIVCE jorge.medgal/sivce.git 28 @margarita.martinez, @selma.maritza, @laura.rodriguez, @noe
Informe de Gestión desarrollo/informedegestion.git 82 @abdiel.fierros, @acisnerosb, @cviruel, @erick.solis, @lorena.hernandez, @noe, @pjimenez, @rmunozc, @thcasimiro
SSIAP desarrollo/ssiap.git 8 @pjimenez, @nayeli.cuevasr, @noe
Política Fiscal desarrollo/polfiscal.git 10 @nayeli.cuevasr, @jorge.medgal, @noe

暴露的开发者:至少识别出 20+名开发人员的GitLab用户名,可被用于社工攻击、凭证猜测和定向钓鱼。主要开发者包括:jorge.medgal(核心管理员)、noe、nayeli.cuevasr、thcasimiro、pjimenez、lorena.hernandez、margarita.martinez 等。

二、项目/系统清单(Listado de Proyectos.xlsx)

2.1 生产环境系统(Productivos工作表,12行)

系统 描述 内部IP 公网URL
Cajas 基金集中管控系统 10.1.181.155 aplicaciones.finanzas.cdmx.gob.mx/caja/
SCD 文件管控系统 10.1.129.95 tics.finanzas.cdmx.gob.mx/scd
Bancomer SECOBAN 银行接口 10.1.129.24
Previt 10.1.181.13 tics.finanzas.cdmx.gob.mx/previt
SIDURG 10.1.181.18 tics.finanzas.cdmx.gob.mx/sicf/
AOCT 部长办公系统 10.1.181.148 tics.finanzas.cdmx.gob.mx/aoct/public
Agenda Maap 2023 10.1.181.66 tics.finanzas.cdmx.gob.mx/AgendaMaap/public/login
Informe de Gestión 10.1.181.76 tics.finanzas.cdmx.gob.mx/gestion/public/
SSIAP 预算绩效指标跟踪 10.1.181.73 ssiap.finanzas.cdmx.gob.mx/login
SIVCE 外贸核查系统 10.1.181.107 tics.finanzas.cdmx.gob.mx/sivce/public/login

2.2 开发中系统(En desarrollo工作表,26行)——包含更多明文凭证

系统 服务器用户 服务器密码 系统用户 系统密码 备注
Agenda Maap sistemas Sistemas2021# administrador 12345678 生产环境
Agenda Maap DEV desarrollo .Etb84KDG? 预发布环境
Carta Invitación salvador 123 开发环境
Psicometricos DEV jhgonzalez 12345678 jhgonzalez@finanzas… 12345678 开发环境
Psicometricos PROD jhgonzalez 12345678 jhgonzalez@finanzas… 12345678 或 123456 生产环境
RAF (Respaldo PROD) acuevas 9r+8wa9rAPHA POLITICAFISCA demo 生产备份
TUCAP sistemas nOJ7Brlm_+ 生产环境
SCD (PRE) admin 123456 预发布
SSIAP DEV Clon phurtadosma@gmail.com 12345678 开发环境

密码强度评估:多个系统仍使用 12345678123456123 等弱密码,生产环境亦如此。

三、交通违法罚单(97个PDF文件)

ZIP文件 Lineascapturainfracciones.zip 包含97个PDF文件,全部为墨西哥城 ecoParq 停车罚单。PDF内容特征:

字段 示例值
罚单号 81196420、81196448、81186693
处罚日期 2026年
罚款金额 (交通罚款)340.00 MXN(解锁费)= $1,513.00 MXN
条形码 4706A81196420BYM4652
有效期 2026-03-04 等
收费方 ecoParq / OPEVSA

注意:这些PDF中未出现明显的公民个人身份信息(如车牌号、车主姓名)——罚单主要是缴费凭证(línea de captura),包含条形码和金额。但罚单编号和条形码可能可以关联到内部数据库中的车主个人信息。

归因分析

归因方向 可能性 关键依据 反证/疑点
CDMX财政部内部人员 数据深度达到运维手册级别;ID为西班牙语”系统管理员”;数据格式为内部Excel工作簿的直接导出;包含仅内部人员可获取的信息(如GitLab开发者真实姓名、VMware虚拟机名称) 公开发布于俄语暗网论坛,而非直接勒索
前雇员/离职IT人员 中高 具备同等访问权限但无在职约束;数据可能是在离职前批量导出 难以确定数据导出的具体时间窗口
第三方供应商/外包商 数据中包含供应商信息(如CartoDB由”公司”安装、”lo instaló la empresa”);外部供应商可能持有相同的运维文档 数据范围太广,单一供应商难以获取全部系统凭证
外部入侵+后渗透数据收集 数据格式为Excel转储+PDF文件包,符合后渗透阶段的数据打包外传特征 但数据的组织化程度(分类工作表、注释)更符合内部工作文档特征,而非自动收集脚本的输出
与 shadowwo 同一组织 PS.docx模板完全一致;相同的darkforums.ru + 中文包装TTP ID语言不同(英文 vs 西班牙语);文件分享平台不同

综合归因评估:最可能的场景是CDMX财政部IT部门的内部人员(或近期离职人员)将日常运维工作文档直接导出并泄露。ID “administradorsistemas”(系统管理员)可能是行为者自我身份的暴露而非伪装。与 shadowwo 的PS.docx模板一致可能表明同一组织提供了泄露行动的技术支持和标准操作流程(SOP)。

 

 

© 版权声明
THE END
喜欢就支持一下吧
点赞6赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容