事件概述
2026年7月5日,黑客在暗网论坛公开泄露了涉及墨西哥城(CDMX)行政和财政部长 的内部数据中心基础设施全量档案。此次泄露并非单一凭证或少量文件的泄露,而是一次高度结构化的基础设施全景图曝光——涵盖内部网络拓扑、全部生产/开发服务器清单、所有数据库和API服务的明文凭证、GitLab完整代码仓库目录、电子邮件账户密码,以及97份交通违法罚单PDF文件。

泄露核心内容涵盖:
-
52个内部系统的完整配置清单(含IP、框架、版本、用途) -
37台服务器的操作系统、IP、VMware虚拟化信息 -
28个数据库的明文用户名和密码(PostgreSQL/Oracle) -
92条API服务端点映射(含RENAPO国家人口登记API、eFirma电子签名API等国家级接口凭证) -
10+个API认证Token和OAuth密钥的完全暴露 -
2个政府电子邮件账户及明文密码 -
44个内部GitLab仓库的完整目录(含开发者姓名和分支结构) -
26个开发中系统(含测试凭证) -
97份交通违法罚单PDF(ecoParq停车罚单) -
内部可访问的国家级敏感服务:CURP(人口唯一注册码)查询API、电子签名(eFirma)API
风险级别:极高 —— 此次泄露将墨西哥城财政部的整个IT基础设施以”运维手册”级别的详细度完全暴露,攻击者可据此构建从外围渗透到内部横向移动的完整攻击链。更重要的是,泄露的API凭证可直接访问墨西哥国家级敏感服务(人口登记、电子签名),影响远超CDMX单个政府机构。
泄露文件清单
| 文件 | 类型 | 内容 | 大小 |
|---|---|---|---|
| Listado de sistemas, servidores, cuentas de correo.xlsx | 基础设施全量清单 | 6个工作表:系统清单(52行)、IP服务映射(92行)、服务器清单(37行)、数据库清单(28行)、电子邮件账户(2行+)、GitLab项目(44行) | 58 KB |
| Listado de Proyectos.xlsx | 项目/系统清单 | 2个工作表:生产环境系统(12行)、开发中系统(26行) | 62 KB |
| Lineascapturainfracciones.zip | 交通违法罚单 | 97个PDF文件(infraccion_3916~10705),ecoParq停车罚单 | 34.6 MB |
泄露数据深度分析
一、数据中心基础设施全景图(XLSX主文件)

1.1 系统清单(sistemas工作表,52行)
暴露了52个内部系统的完整技术栈信息,关键维度包括:
| 维度 | 暴露内容 |
|---|---|
| 系统名称 | Cajas(财政基金集中管控系统)、Plataforma CDMX(地震平台)、SCD(文件管控系统)、PREVIT、SIVCE(外贸核查)、SSIAP(预算绩效指标跟踪)、RAF、Política Fiscal(收入管控)、AOCT(部长办公系统)等 |
| 环境标识 | PRO(生产)/ DEV(开发)/ PRUEBAS(测试)清晰标记 |
| 内部IP | 覆盖 10.1.x.x 全段:10.1.13.x、10.1.126.x、10.1.129.x、10.1.130.x、10.1.181.x、10.1.195.x |
| 公网IP/域名 | 189.208.102.117、189.240.114.213、189.249.114.213;finanzas.cdmx.gob.mx、tics.finanzas.cdmx.gob.mx、plataforma.cdmx.gob.mx、cartodb.cdmx.gob.mx |
| 技术栈 | PHP(多版本)、Perl、Ruby、Java、HTML/CSS/JS、Python |
| 框架 | Laravel 5.4/7/8/9、Geoserver、Metronic v7/v8 |
| 服务器用户 | pavaldes、acuevas、mromero、nsalgado、jhgonzalez、sistemas、desarrollo |
1.2 服务器清单(servidores工作表,37行)
完整暴露了37台物理/虚拟服务器的:
| 暴露信息 | 示例 |
|---|---|
| 服务器用途 | cajas (SICCF)、开发服务器、Plataforma、BD服务器、GeoServer、CartoDB、Psicométricos、SICF-Bancomer、INVENTARIO、SIVCE PRO、SSIAP、control_acceso、SNTI、SIGEC |
| 内部IP | 10.1.13.55→10.1.181.155、10.1.181.3→10.1.130.79、10.1.130.28、10.1.126.13、10.1.65.114、10.1.181.73 等 |
| 操作系统 | Fedora Core 2、Ubuntu 12.04/20.04、Debian 9/11/12(多个版本) |
| 虚拟化 | VMware,含虚拟机名称(SSIAP_181.73、Control_Acceso_181.170、Acta_Responsiva_181.110、SNTI_181.206、SIGEC_181.210) |
| SSH用户/密码 | nsalgado:kls2qr824(开发服务器明文凭证) |
| 环境 | PRO / DEV 标识 |
关键发现:暴露了还在运行 Fedora Core 2 (2004年) 和 Ubuntu 12.04 (2012年) 的严重过期操作系统,这些系统早已结束安全支持,存在大量已知漏洞。
1.3 数据库凭证完全暴露(Bases de datos工作表,28行)
这是此次泄露中直接危害性最高的部分——28个数据库的明文用户名和密码全部罗列:
| 系统 | 数据库 | 用户名 | 明文密码 | 环境 |
|---|---|---|---|---|
| Cajas | PostgreSQL | caja | c9j8*s74oldQ |
— |
| Psicométricos | PostgreSQL | jhgonzalez | 12345678 |
— |
| Previt | PostgreSQL 12 | postgres | 5Q54J |
PROD |
| Nuevo SAICA | PostgreSQL 11.8 | usaica | s4F.pR0d..S41cA |
PRO |
| TUCAP | PostgreSQL 11.7 | eventuki | s4F.3vENt000s5s |
PRO |
| SICF Bancomer | PostgreSQL 11.7 | usicf | .s4F.dG4f..$1cF |
PRO |
| MAAP 2022 | — | amaap1 | amaap1*222*-M |
PRO |
| AOCT | PostgreSQL | aoc | aoc956K86h-aoc4* |
— |
| PILARES | — | pilares | l956K8-*4Pila* |
— |
| SCD Producción | — | scdoc | S7.c@d0C8m3nt4l |
— |
| CASVF (Dev) | — | postgres | p3r3z0s0 |
DEV |
| Entreganet PRO | PostgreSQL | actaer | s4F.Qa..NtR3Ga. |
PRO |
| RAF PRO | PostgreSQL | raf | raf*F2*- |
PRO |
| Generador Constancias | — | uconstancias | s4f.c0N5t4nc1A$. |
PRO |
| Política Fiscal | — | postgres | N0rm4t1v1d4d |
— |
| Informe de Gestión | PostgreSQL 11.7 | informe | 1nfor3.G3stion$2023 |
PRO |
| SSIAP Producción | PostgreSQL 14.4 | ssiap | siD04.Dr |
PRO |
| Servidor Desarrollo | PostgreSQL | postgres | .s41M3d? |
DEV |
| SNTI Producción | PostgreSQL 14 | snti | Cntc_2025_SNT1 |
PRO |
密码模式分析:大量密码遵循 s4F.xxx(或 s4f.xxx)前缀模式——”SAF”是 Secretaría de Administración y Finanzas 的缩写,表明这是机构内部统一的密码策略。此密码模式的暴露使攻击者可推测其他未在列表中系统的潜在凭证。
1.4 API服务端点与Token完全暴露(servicios por IP工作表,92行)
这是此次泄露中影响范围超越CDMX单一机构的关键部分——暴露了可直接访问墨西哥国家级政府服务的API凭证:
| API服务 | 端点 | 暴露凭证 | 敏感级别 |
|---|---|---|---|
| RENAPO(国家人口登记) | curp.cdmx.gob.mx/curp/rest/curp/ |
Token: F1n4nz445!2020,用户: finanzas |
极高 |
| RENAPO (Lalo) | tics.finanzas.cdmx.gob.mx/servicios_lc/oauth/token |
username: api_cados,password: $3rv1c3.Ap1.R3n4p0.C4D0s#,client_id: 11,client_secret: afMuPjWAXdSSU9StWJp9DFCCw3RFgUHEafMuPjWA |
极高 |
| RENAPO (SECTEI) | 同上OAuth端点 | username: api_sectei,password: $3rv1c3.Ap1.R3n4p0.C4D0s# |
极高 |
| Capital Humano | 10.1.181.9:9003/usuarios/consultaRfcUSerAE |
Token: UN3JJEPIIG1FSK05FVYR |
极高 |
| Proveedores | 10.1.181.9:9017/Proveedores/getData* |
Token: DK3TBCRNGWGKB7FRNKQT |
高 |
| eFirma(电子签名) | 10.1.181.25/eFirma/firmaCadena (port :9005) |
Token: FPRUPRUEBA |
高 |
| eFirma (SCD) | 同上 | Token: FPREDGTCY2SC2D284ZFWR934P4RP |
高 |
| eFirma (Constancias) | 同上 | Token: FGCODGTCTBA7MGIVHWDMGIUC5LC7 |
高 |
| eFirma (PILARES) | 同上 | Token: FPILDGTC6GR4BPBMWR38H7KZ932D |
高 |
| Encuestas | 10.1.90.4/encuestas/public/ws/* |
— | 中 |
| Normatividad API | tics.finanzas.cdmx.gob.mx/servicios_lc/api/cgma/* |
USER: api_normatividad,PASS: $3rv1c3.Ap1.N0rm4t1v1d4d# |
高 |
| Informe Gestión API | 同上 | USER: api_informe_gestion,PASS: $3rv1c3.Ap1.1nf0rm3Gest10n |
高 |
| Notificaciones Telegram | 10.1.130.13/notificaciones/public/api/notificacion |
— | 中 |
| SEPOMEX(邮政) | tics.finanzas.cdmx.gob.mx/servicios_lc/api/sepomex/* |
— | 中 |
最危险暴露:RENAPO CURP查询API的完全访问凭证。CURP(Clave Única de Registro de Población)是墨西哥全国人口的唯一身份注册码——此API可查询任意墨西哥公民的CURP记录,包含个人身份信息。攻击者获取此API凭证后,可以对墨西哥全国人口进行身份信息批量查询。
eFirma API风险:墨西哥的eFirma(电子签名)具有完全的法律效力,等同于手写签名。API Token的暴露意味着攻击者可利用CDMX财政部的eFirma接口伪造电子签名文件。
1.5 电子邮件账户(Cuentas De Correo工作表)
| 系统 | 类型 | 邮箱 | 明文密码 | 工单号 | 创建日期 |
|---|---|---|---|---|---|
| SSIAP | PRO | ssiap@finanzas.cdmx.gob.mx |
aK518)*bWHTZ |
10071956 | 2023-08-18 |
| SIVCE | PRO | sivce@finanzas.cdmx.gob.mx |
L2ji1saZ. |
10089734 | 2024-07-03 |
这些邮件账户可用于发送钓鱼邮件(伪装成CDMX财政部官方通信)、密码重置其他关联服务、以及访问关联的Microsoft 365/Google Workspace服务。
1.6 GitLab完整代码仓库目录(Proyectos de Git antiguos工作表,44行)
暴露了内部GitLab服务器(git@10.1.181.70)上的44个代码仓库的完整目录:
| 系统 | 仓库路径 | 分支数 | 涉及开发者 |
|---|---|---|---|
| Acta Responsiva | jorge.medgal/acta_responsiva.git |
5 | @lorena.hernandez, @margarita.martinez |
| AOCT | jorge.medgal/aoc.git |
3 | @thcasimiro, @pjimenez, @noe, @nayeli.cuevasr |
| SCD 2.0 | jorge.medgal/scd2.0.git |
11 | @laura.rodriguez, @lorena.hernandez, @selma.maritza |
| SIDURG | jorge.medgal/sidgaf.git |
18 | @margarita.martinez, @ncarbajal, @noe |
| SIVCE | jorge.medgal/sivce.git |
28 | @margarita.martinez, @selma.maritza, @laura.rodriguez, @noe |
| Informe de Gestión | desarrollo/informedegestion.git |
82 | @abdiel.fierros, @acisnerosb, @cviruel, @erick.solis, @lorena.hernandez, @noe, @pjimenez, @rmunozc, @thcasimiro |
| SSIAP | desarrollo/ssiap.git |
8 | @pjimenez, @nayeli.cuevasr, @noe |
| Política Fiscal | desarrollo/polfiscal.git |
10 | @nayeli.cuevasr, @jorge.medgal, @noe |
暴露的开发者:至少识别出 20+名开发人员的GitLab用户名,可被用于社工攻击、凭证猜测和定向钓鱼。主要开发者包括:jorge.medgal(核心管理员)、noe、nayeli.cuevasr、thcasimiro、pjimenez、lorena.hernandez、margarita.martinez 等。
二、项目/系统清单(Listado de Proyectos.xlsx)
2.1 生产环境系统(Productivos工作表,12行)
| 系统 | 描述 | 内部IP | 公网URL |
|---|---|---|---|
| Cajas | 基金集中管控系统 | 10.1.181.155 | aplicaciones.finanzas.cdmx.gob.mx/caja/ |
| SCD | 文件管控系统 | 10.1.129.95 | tics.finanzas.cdmx.gob.mx/scd |
| Bancomer SECOBAN | 银行接口 | 10.1.129.24 | — |
| Previt | — | 10.1.181.13 | tics.finanzas.cdmx.gob.mx/previt |
| SIDURG | — | 10.1.181.18 | tics.finanzas.cdmx.gob.mx/sicf/ |
| AOCT | 部长办公系统 | 10.1.181.148 | tics.finanzas.cdmx.gob.mx/aoct/public |
| Agenda Maap 2023 | — | 10.1.181.66 | tics.finanzas.cdmx.gob.mx/AgendaMaap/public/login |
| Informe de Gestión | — | 10.1.181.76 | tics.finanzas.cdmx.gob.mx/gestion/public/ |
| SSIAP | 预算绩效指标跟踪 | 10.1.181.73 | ssiap.finanzas.cdmx.gob.mx/login |
| SIVCE | 外贸核查系统 | 10.1.181.107 | tics.finanzas.cdmx.gob.mx/sivce/public/login |
2.2 开发中系统(En desarrollo工作表,26行)——包含更多明文凭证
| 系统 | 服务器用户 | 服务器密码 | 系统用户 | 系统密码 | 备注 |
|---|---|---|---|---|---|
| Agenda Maap | sistemas | Sistemas2021# |
administrador | 12345678 |
生产环境 |
| Agenda Maap DEV | desarrollo | .Etb84KDG? |
— | — | 预发布环境 |
| Carta Invitación | — | — | salvador | 123 |
开发环境 |
| Psicometricos DEV | jhgonzalez | 12345678 |
jhgonzalez@finanzas… | 12345678 |
开发环境 |
| Psicometricos PROD | jhgonzalez | 12345678 |
jhgonzalez@finanzas… | 12345678 或 123456 |
生产环境 |
| RAF (Respaldo PROD) | acuevas | 9r+8wa9rAPHA |
POLITICAFISCA | demo |
生产备份 |
| TUCAP | sistemas | nOJ7Brlm_+ |
— | — | 生产环境 |
| SCD (PRE) | — | — | admin | 123456 |
预发布 |
| SSIAP DEV Clon | — | — | phurtadosma@gmail.com | 12345678 |
开发环境 |
密码强度评估:多个系统仍使用 12345678、123456、123 等弱密码,生产环境亦如此。
三、交通违法罚单(97个PDF文件)
ZIP文件 Lineascapturainfracciones.zip 包含97个PDF文件,全部为墨西哥城 ecoParq 停车罚单。PDF内容特征:
| 字段 | 示例值 |
|---|---|
| 罚单号 | 81196420、81196448、81186693 |
| 处罚日期 | 2026年 |
| 罚款金额 | (交通罚款)340.00 MXN(解锁费)= $1,513.00 MXN |
| 条形码 | 4706A81196420BYM4652 |
| 有效期 | 2026-03-04 等 |
| 收费方 | ecoParq / OPEVSA |
注意:这些PDF中未出现明显的公民个人身份信息(如车牌号、车主姓名)——罚单主要是缴费凭证(línea de captura),包含条形码和金额。但罚单编号和条形码可能可以关联到内部数据库中的车主个人信息。
归因分析
| 归因方向 | 可能性 | 关键依据 | 反证/疑点 |
|---|---|---|---|
| CDMX财政部内部人员 | 高 | 数据深度达到运维手册级别;ID为西班牙语”系统管理员”;数据格式为内部Excel工作簿的直接导出;包含仅内部人员可获取的信息(如GitLab开发者真实姓名、VMware虚拟机名称) | 公开发布于俄语暗网论坛,而非直接勒索 |
| 前雇员/离职IT人员 | 中高 | 具备同等访问权限但无在职约束;数据可能是在离职前批量导出 | 难以确定数据导出的具体时间窗口 |
| 第三方供应商/外包商 | 中 | 数据中包含供应商信息(如CartoDB由”公司”安装、”lo instaló la empresa”);外部供应商可能持有相同的运维文档 | 数据范围太广,单一供应商难以获取全部系统凭证 |
| 外部入侵+后渗透数据收集 | 中 | 数据格式为Excel转储+PDF文件包,符合后渗透阶段的数据打包外传特征 | 但数据的组织化程度(分类工作表、注释)更符合内部工作文档特征,而非自动收集脚本的输出 |
| 与 shadowwo 同一组织 | 中 | PS.docx模板完全一致;相同的darkforums.ru + 中文包装TTP | ID语言不同(英文 vs 西班牙语);文件分享平台不同 |
综合归因评估:最可能的场景是CDMX财政部IT部门的内部人员(或近期离职人员)将日常运维工作文档直接导出并泄露。ID “administradorsistemas”(系统管理员)可能是行为者自我身份的暴露而非伪装。与 shadowwo 的PS.docx模板一致可能表明同一组织提供了泄露行动的技术支持和标准操作流程(SOP)。











暂无评论内容