14-16 Mar 2026
Voltar ao Plano

Rotacionar token Meta/WhatsApp API

ACT-1.2
ImediataCritica — esta semanaEsforco: PComplexidade: BaixaParalelizavel
Por que e urgente

Token permanente da Meta Graph API (`EAARwaJZA5l...`) esta em texto plano no `appsettings.json` do repositorio. Qualquer dev pode usar para enviar mensagens WhatsApp em nome da empresa

Risco de nao fazer

Envio de spam via numero de negocios, custo financeiro ilimitado, risco de banimento da conta Meta

Modulos Impactados

aspnet-core/src/cargo_fleet.HttpApi.Host/appsettings.json.github/kubernetes/production/configmap.yaml

Passos de Implementacao

  1. 1Acessar o Meta for Developers Console
  2. 2Revogar o token atual
  3. 3Gerar novo token permanente
  4. 4Armazenar no Kubernetes Secret `cargofleet-secrets` como `WhatsAppApi__AccessToken`
  5. 5Remover o token do `appsettings.json`
  6. 6Fazer deploy e verificar que as notificacoes WhatsApp continuam funcionando

Achados Relacionados

CRIT-02
AnteriorACT-1.1 Alterar senha admin de producao
ProximoCorrigir CORS — remover AllowAnyOrigin ACT-1.3