Passphrase fraca e hardcoded para criptografia de credenciais Galileu

{
  "id": "HIGH-02",
  "title": "Passphrase fraca e hardcoded para criptografia de credenciais Galileu",
  "severity": "High",
  "type": "achado confirmado",
  "category": "security",
  "description": "Todas as senhas Galileu de todos os tenants sao criptografadas com a mesma passphrase trivial (`testePassPhrase`) e salt (`1q2w3E*`). Quem tiver acesso ao banco pode descriptografar todas as credenciais.",
  "evidence": "`aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json` linhas 30-31: `\"GalileuCredentials\": { \"PassPhrase\": \"testePassPhrase\", \"Salt\": \"1q2w3E*\" }`.",
  "technicalImpact": "Com acesso ao banco (CRIT-02), descriptografia de todas as credenciais Galileu de todos os tenants e trivial.",
  "businessImpact": "Comprometimento das credenciais Galileu de todos os clientes (fretes, rastreamento, dados operacionais).",
  "recommendation": "Gerar passphrase >= 32 caracteres randomicos. Armazenar em Kubernetes Secret. Considerar AWS KMS. Recriptografar todas as senhas.",
  "files": [
    "aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json"
  ],
  "pass": 1,
  "relatedActions": [
    "ACT-2.3"
  ],
  "relatedFindings": [
    "CRIT-02",
    "SEC2-04"
  ]
}