14-16 Mar 2026
Voltar ao Plano

Rotacionar ABP StringEncryption DefaultPassPhrase (CRIT-06)

ACT-7.1.1
4a Rod. ImediataCRITICA — hojeEsforco: MComplexidade: Media
Por que e urgente

DefaultPassPhrase `ZwzEq9oFPTcL3cQ0` hardcoded em appsettings.json. Qualquer pessoa com acesso ao banco pode descriptografar todos os dados criptografados pelo ABP

Risco de nao fazer

Comprometimento de todas as credenciais Galileu criptografadas de todos os tenants

Modulos Impactados

cargo_fleet.HttpApi.Host/appsettings.jsoncargo_fleet.AuthServer/appsettings.jsoncargo_fleet.DbMigrator/appsettings.json

Passos de Implementacao

  1. 1Gerar passphrase criptograficamente segura (>= 32 caracteres)
  2. 2Armazenar exclusivamente em Kubernetes Secret
  3. 3Recriptografar todas as credenciais Galileu no banco com a nova chave
  4. 4Remover a passphrase antiga do historico Git (git filter-branch ou BFG)
  5. 5Validar que todos os servicos que usam IStringEncryptionService continuam funcionando

Achados Relacionados

CRIT-06
AnteriorACT-6.3.7 Restringir permissoes do CronJob ECR ao secret especifico (INFRA-19)
ProximoRemover senha OpenIddict do codigo C# do AuthServer (CRIT-07) ACT-7.1.2