Skip to content

🔴 RedeDor Security Audit - Complete Documentation

Audit Date: 2026-02-26 Status: CRITICAL - IMMEDIATE ACTION REQUIRED Classification: CONFIDENTIAL

📑 Documentos de Auditoria

1. 01-executive-summary.md 📊

Resumo Executivo para C-Level - Visão geral do comprometimento - Achados críticos em 1 página - Recomendações imediatas - Timeline de comprometimento - Custo de inação

Público: CISO, CTO, CFO, Legal, Compliance

2. 02-attack-chain.md 🔴

Cadeia Completa de Ataque - Flowchart Mermaid

Mostra: - Vetor de ataque inicial (PAT Token) - Cada credencial descoberta como nó - Como uma leva à outra - Escalação progressiva - Comprometimento final

Inclui: - Diagrama flowchart detalhado - Tabela de credenciais por severidade - Recomendações imediatas - Timeline das fases

Público: Security Team, Incident Response, Engineering Leadership

3. 03-azure-ad-apps.md 🔐

Ecossistema Azure AD - 344 Apps com Secrets

Mostra: - 344 aplicações Azure AD mapeadas - Relacionamentos e dependências entre apps - Apps críticas: PAT-Token-Manager, dor-dev-hub, Key Vault Management - Apps comprometidas: Portal Dev, Portal Prod - Apps periféricas: APEX, CyberArk, MailFlow, etc.

Inclui: - Diagrama graph mostrando relationships - Tier de criticidade (Crítica/Alta/Média) - Detalhamento de cada app - Matriz de risco - Checklist de remediação

Público: Azure AD Admin, Security Team, Application Owners

4. 04-infrastructure-map.md 🌐

Mapa de Infraestrutura - Azure + AWS + Azure DevOps

Mostra: - VPC AWS com RDS instances - Azure AD Tenant com 344 apps - Azure DevOps organization (6 repos) - Fluxos de dados entre sistemas - Pontos críticos de exposição

Inclui: - Diagrama detalhado da arquitetura - Componentes por conta AWS - Fluxo de dados comprometido - Matriz de exposição por sistema - Recomendações prioritárias

Público: Infra/DevOps Team, Security Architects, CTO

5. 05-secrets-graph.md 🔑

Grafo de Secrets - Localização e Relacionamentos

Mostra: - Onde cada secret foi encontrado (qual repo, qual arquivo) - O que cada secret acessa - Relacionamentos entre secrets - Timeline de expiração - Blast radius de cada secret

Inclui: - Diagrama network graph de secrets - Matriz secrets × localizações - Detalhamento de cada secret - Timeline de rotação prioritária - Dependências (o que quebra se rotacionar)

Público: Security Team, Backend Engineers, Database Admins

6. 06-remediation-plan.md 🛡️

Plano Detalhado de Remediação - Step-by-Step

Fases: - Fase 1: Lockdown Imediato (Horas 0-2) - Fase 2: Secret Rotation (Horas 2-24) - Fase 3: Git History Remediation (Horas 24-72) - Fase 4: Infrastructure Hardening (Dias 3-30) - Fase 5: Detection & Response (Ongoing)

Inclui: - Passos exatos por ação - Scripts bash quando aplicável - Timelines precisas - Impacto de cada ação - Planos de contingência/rollback

Público: Incident Response Team, Ops, Engineering

🎯 Guia de Navegação por Role

Para CISO / C-Level

  1. Leia: 01-executive-summary.md (5 min)
  2. Aprove: Checklist crítico de remediação
  3. Notifique: Legal + Compliance + Board

Para Security Team

  1. Leia: 01-executive-summary.md
  2. Estude: 02-attack-chain.md (entender escalação)
  3. Implemente: 06-remediation-plan.md (Fase 1-2)
  4. Monitore: 05-secrets-graph.md (que secrets precisam rotar)

Para Engineering / DevOps

  1. Estude: 04-infrastructure-map.md (sua infraestrutura)
  2. Estude: 05-secrets-graph.md (secrets no seu código)
  3. Execute: 06-remediation-plan.md (fases 2-3)
  4. Implemente: 03-azure-ad-apps.md (hardening)

Para Azure/AWS Admins

  1. Leia: 03-azure-ad-apps.md (344 apps overview)
  2. Leia: 04-infrastructure-map.md (RDS, accounts, VPCs)
  3. Implemente: 06-remediation-plan.md (Fase 4-5)
  1. Leia: 01-executive-summary.md
  2. Avalie: Data exposure (LGPD/HIPAA implications)
  3. Prepare: Customer notification plan
  4. Review: 06-remediation-plan.md (timelines for notification)

🔥 CRÍTICO - AÇÕES IMEDIATAS

HOJE (Next 2 hours): - [ ] Revoke MSAL Dev ClientSecret (cc06aa03) - Vetor principal de ataque → enumera 344 apps - [ ] Revoke Oracle APEX secret (iC_) - EXPIRA EM HORAS - sistema crítico - [ ] Revoke PAT Token Azure DevOps - Previne novos clones de repos

24 Hours: - [ ] Rotate TOKEN_SECRET (duplicado em 2 repos) - [ ] Rotate MSAL Prod new secret (IA_8Q~) - [ ] Rotate RDS Dev credentials - [ ] Start TruffleHog git history scan

72 Hours: - [ ] Execute git history rewrite (force-push) - [ ] Complete remaining secrets rotation - [ ] Audit all access logs (CloudTrail, Azure Logs)

📊 Resumo de Descobertas

Credenciais Encontradas: 15+

Tipo Severidade Status Encontrado em
MSAL Dev Secret 🔴 CRÍTICA ATIVO Git history
MSAL Prod Secret 🔴 CRÍTICA NOVO Criada durante audit
TOKEN_SECRET (JWT) 🔴 CRÍTICA DUPLICADO 2 repos
MySQL RDS Dev 🔴 CRÍTICA ATIVO Git history
PAT Token 🔴 CRÍTICA ATIVO Azure DevOps
Swagger BasicAuth 🟠 ALTA HARDCODED Git history
CRM Password 🟠 ALTA PLAINTEXT Git history
Cognito Secret 🟠 ALTA ATIVO Git history
ServiceNow Secrets (2x) 🟠 ALTA ATIVO Git history
APEX Secrets (4x) 🟠 ALTA 1 EXP HOJE Azure AD
AWS Credentials (2x) 🟡 EXPIRADO HISTÓRICO Git history

Sistemas Comprometidos

  • Azure AD: 344 apps (all secrets enumerable)
  • Azure DevOps: 6 repositórios (3377+ commits)
  • AWS Account 282525845483: Gestão de identidade
  • AWS Account 485245438221: Portal backend
  • AWS Account 527905719568: Produção Cinemed
  • RDS MySQL Dev: Database de identidades
  • Medical Pipeline: Dados de pacientes (LGPD/HIPAA risk)

🎓 Lições Aprendidas

  1. Secrets em Git é epidêmico: 15+ secrets em apenas 6 repos
  2. No secret scanning em CI/CD: Nenhuma barreira a commits com secrets
  3. Duplicação crítica: TOKEN_SECRET em 2 repos = AWS account linkage
  4. Development secrets used in production: RDS dev creds em backend prod
  5. No secret rotation policy: Some secrets from 2024/2025 still active
  6. Azure AD sprawl: 344 apps, provavelmente 200+ unused

📋 Próximos Passos Após Remediação

  1. Prevent: Implement pre-commit hooks (TruffleHog, GitLeaks)
  2. Detect: Enable secret detection in pipelines + SIEM alerts
  3. Rotate: Implement 90-day secret rotation policy
  4. Centralize: Migrate to Azure Keyvault + AWS Secrets Manager
  5. Audit: Monthly secret rotation audits
  6. Train: Security training for all engineers (secrets management)
  7. Automate: Automate secret rotation with CI/CD

📞 Contatos Importantes

Security Team Lead: [Nome] - [Email] - [Phone]

CISO: [Nome] - [Email] - [Phone]

Incident Response: [Email] - [On-call: +55 11 XXXX-XXXX]

External IR Firm: [Firm Name] - [Contact] - [Retainer status]

📄 File Manifest

/home/rx/lab/scan-dor/
├── README.md (this file)
├── 01-executive-summary.md (7.8 KB)
├── 02-attack-chain.md (6.3 KB)
├── 03-azure-ad-apps.md (9.1 KB)
├── 04-infrastructure-map.md (12 KB)
├── 05-secrets-graph.md (18 KB)
├── 06-remediation-plan.md (24 KB)
└── 01-credenciais-encontradas.md (3.8 KB - older format)

Total: ~80 KB of comprehensive security documentation

⚠️ CONFIDENTIALITY

ESTE DOCUMENTO CONTÉM: - Credenciais ativas (parcialmente ofuscadas) - Detalhes específicos de vulnerabilidades - Informações de infraestrutura - Potencial dados de pacientes em risco

CLASSIFICAÇÃO: CONFIDENTIAL - Internal Use Only

DISTRIBUIÇÃO PERMITIDA: - CISO, CTO, CFO - Security Team - Incident Response - Compliance / Legal - Selected Engineering Leaders (need-to-know)

PROIBIDO COMPARTILHAR COM: - Redes sociais / comunicação pública - Terceiros não autorizados - Clientes (sem aprovação legal) - Media

RETENÇÃO: Máximo 90 dias após remediação completa

Document Created: 2026-02-26 22:58 UTC Last Updated: 2026-02-26 22:58 UTC Status: ACTIVE - IMMEDIATE REMEDIATION REQUIRED