Voltar ao catalogoCRIT-01
Token permanente Meta/WhatsApp API hardcoded no repositorio
CriticalAchado ConfirmadoSegurancaRodada 1
Evidencia
`aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json` linha 25: `"AccessToken": "EAARwaJZA5lZAMBPUAvlFlRYLXsu..."`. O arquivo `appsettings.json` nao esta no `.gitignore` (confirmado em `.gitignore` raiz).
Impacto Tecnico
Qualquer pessoa com acesso ao repositorio pode usar o token para enviar mensagens WhatsApp em nome da empresa, acessar dados de conversas, e esgotar a cota de mensagens.
Impacto de Negocio
Envio de mensagens nao autorizadas para clientes, dano reputacional, banimento da conta WhatsApp Business, custo irrestrito de mensagens pagas, e potencial responsabilidade legal (LGPD).
Recomendacao
Revogar o token imediatamente na console Meta for Developers. Mover o valor para Kubernetes Secret (cargofleet-secrets) injetado via secretRef. Nunca armazenar tokens de API de terceiros em appsettings.json.
Arquivos Afetados
aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json
Acoes Relacionadas
{
"id": "CRIT-01",
"title": "Token permanente Meta/WhatsApp API hardcoded no repositorio",
"severity": "Critical",
"type": "achado confirmado",
"category": "security",
"description": "Token permanente da Meta Graph API exposto em texto plano no appsettings.json do repositorio. O token permite envio de mensagens WhatsApp em nome da empresa e acesso a dados de conversas. Tokens Meta do tipo permanente nao expiram automaticamente.",
"evidence": "`aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json` linha 25: `\"AccessToken\": \"EAARwaJZA5lZAMBPUAvlFlRYLXsu...\"`. O arquivo `appsettings.json` nao esta no `.gitignore` (confirmado em `.gitignore` raiz).",
"technicalImpact": "Qualquer pessoa com acesso ao repositorio pode usar o token para enviar mensagens WhatsApp em nome da empresa, acessar dados de conversas, e esgotar a cota de mensagens.",
"businessImpact": "Envio de mensagens nao autorizadas para clientes, dano reputacional, banimento da conta WhatsApp Business, custo irrestrito de mensagens pagas, e potencial responsabilidade legal (LGPD).",
"recommendation": "Revogar o token imediatamente na console Meta for Developers. Mover o valor para Kubernetes Secret (`cargofleet-secrets`) injetado via `secretRef`. Nunca armazenar tokens de API de terceiros em `appsettings.json`.",
"files": [
"aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json"
],
"pass": 1,
"relatedActions": [
"ACT-1.2"
]
}
Descricao
Token permanente da Meta Graph API exposto em texto plano no appsettings.json do repositorio. O token permite envio de mensagens WhatsApp em nome da empresa e acesso a dados de conversas. Tokens Meta do tipo permanente nao expiram automaticamente.