Skip to content

🚨 EXECUTIVE SUMMARY - RedeDor Security Audit

Data: 2026-02-26 Status: CRÍTICO - COMPROMISO COMPLETO DETECTADO Auditor: Security Research Team

📊 Visão Geral

A auditoria de segurança da RedeDor identificou comprometimento crítico da infraestrutura através de múltiplas credenciais expostas em histórico de Git. O ataque permite acesso progressivo a:

  1. 344 aplicações Azure AD (todos os secrets)
  2. 3 contas AWS (gestão, portal, produção)
  3. Banco de dados de produção (credenciais dev acessam prod)
  4. Pipeline médico (dados de pacientes)
  5. Sistemas empresariais (CRM, ServiceNow, APEX, Cognito)

Risco: Violação LGPD/HIPAA - Dados de pacientes potencialmente expostos

🔴 ACHADOS CRÍTICOS

1. PAT Token Azure DevOps - Entrada Principal

  • Credencial: EbBQwWRTn29c...AZDO2por
  • Acesso: Code + Packaging Read (escopo restrito, mas suficiente)
  • Impacto: Clone de 6 repositórios = acesso a 6,991 commits
  • Status: Ativo, não revogado

2. TOKEN_SECRET DUPLICADO (JWT Simétrica)

569825f342fae7cae51f7c55fcc805c6cec4e2cb7b1535e5344266d332911977
- Encontrado em: 2 repositórios diferentes - portal-de-relacionamento-backend - gestao-de-identidade-serverless - Uso: JWT signing/validation + internal API auth - Risco: Garante acesso a DOIS AWS accounts - Status: Ativo - não foi rotacionado - Impacto: Pode-se forjar tokens para qualquer usuário/permissão

3. MSAL Dev Secret em Git (VETOR PRINCIPAL)

Qjc8Q~qh5ILbrPG71r35Y2U9M53nNMFZSyGi.aOb
AppID: cc06aa03 (Portal-Dev)
- Encontrado em: portal-de-relacionamento-backend git history - Status: ATIVO - Ninguém o revogou! - Acesso: Microsoft Graph API com Application.ReadWrite.All - Impacto: Pode enumerar + modificar 344 Azure AD apps em 1 API call - Pivô: Pode adicionar novo secret à app de produção (4e5a672f) - Novo achado: MSAL Prod já foi comprometida (secret IA_8Q~ adicionado)

4. MySQL RDS Dev Credentials (Banco Identidades)

mysql://dev_admin:sShk9PkdQ35BRilDH0ukREDEDOR@
gestao-identidade-dev.cf04evbxtqfl.sa-east-1.rds.amazonaws.com:3306
- Encontrado em: portal-de-relacionamiento-backend git history - AWS Account: 282525845483 (gestão-de-identidade) - Status: Database acessível (porta 3306 aberta?) - Contém: Database de identidades, usuários, privilégios, medical workflows - Risco: Acesso direto a dados de pacientes

5. Azure AD Ecosystem - 344 Apps com Secrets

App Crítica AppID Secrets Ativo Escopo
PAT-Token-Manager df077825 3 Azure DevOps COMPLETO
dor-dev-hub 8a7d0eab 2 Azure DevOps (exp 2028)
Key Vault Mgmt 1cd22fa9 1 Acesso a TODOS os 344 secrets
CyberArk Identity 994ce889 2 Directory.ReadWrite.All
APEX Auth 4459f6a9 7 1 secret EXPIRA HOJE ⚠️

🔥 TIMELINE DE COMPROMETIMENTO

T0: Atacante obtém PAT Token (origem desconhecida)
    ↓
T1: Clone 6 repos, scan history
    ↓
T2: Encontra MSAL Dev secret (cc06aa03) em plaintext
    ↓
T3: Usa MSAL Dev para Graph API → enumera 344 apps
    ↓
T4: Encontra PAT-Token-Manager (df077825) com DevOps scope COMPLETO
    ↓
T5: Usa PAT-Token-Manager para acesso Azure DevOps sem limitações
    ↓
T6: Encontra Key Vault Manager (1cd22fa9) → acesso CENTRALIZADO a 344 secrets
    ↓
T7: Compromete MSAL Prod (4e5a672f) adicionando novo secret (IA_8Q~)
    ↓
T8: Tem controle de:
    - Production authentication (MSAL Prod)
    - CI/CD pipeline (DevOps completo)
    - Todos os app secrets (Key Vault)
    - Identity management (CyberArk Directory.WriteAll)

💾 DADOS COMPROMETIDOS

Medical Data (LGPD/HIPAA Risk)

  • ✅ Patient identities (usuarios table)
  • ✅ Medical workflows (gestao-identidade RDS)
  • ✅ Treatment history (ECS + Lambda access)
  • ✅ Integration data (CRM, ServiceNow)

Business Data

  • ✅ Customer data (CRM)
  • ✅ Tickets/Issues (ServiceNow)
  • ✅ Business logic (APEX)
  • ✅ User accounts (Cognito)

Infrastructure

  • ✅ AWS Account IDs
  • ✅ RDS instance configs
  • ✅ Lambda functions
  • ✅ ECR images (production containers)

⏰ SECRETS EXPIRING IMMINENTLY

Secret Expira Ação
🔴 Oracle APEX (iC_) TODAY REVOKE AGORA
🔴 APEX General (8nf) 2026-03 (28 dias) REVOKE URGENTE
🔴 MSAL Prod hint (ew5) 2026-05-09 (72 dias) REVOKE URGENTE

📋 RECOMENDAÇÕES IMEDIATAS (HOJE)

1. HORA 0 (Imediato)

# Azure AD
- REVOKE MSAL Dev ClientSecret (cc06aa03)
- REVOKE Oracle APEX secret (iC_) - EXP em horas!
- AUDIT quem criou MSAL Prod novo secret (IA_8Q~)
- DISABLE Portal-Dev app se possível

# Azure DevOps
- REVOKE PAT Token (EbBQwWRTn29c...)
- AUDIT recent clones/pushes
- SCAN Azure DevOps audit logs

# AWS
- MONITOR CloudTrail para uso de expirados tokens
- CHECK RDS access logs
- SNAPSHOT gestao-identidade RDS antes de rotação

2. HORAS 1-4

# Secrets Rotation Planning
- Planejamento de rotação TOKEN_SECRET (rebuild 3 repos!)
- Preparar novo MSAL Prod secret
- Notify ops teams de maintenance windows

# Git Security
- Scan histórico COMPLETO com TruffleHog/GitGuardian
- Prepare force-push para remover secrets
- Audit todos os 6,991 commits

3. HORAS 4-24

# Execute Rotations
- Rotate RDS Dev credentials (force reconnect)
- Rotate Swagger BasicAuth
- Rotate ServiceNow secrets
- Deploy new MSAL Prod secret

# Lockdown
- Force MFA em todos os service principals
- Restrict Key Vault app permissions (1 secret apenas!)
- Audit CyberArk Directory.WriteAll usage

💰 COST OF INACTION

Cenário Custo Risco
Dados Pacientes Vazam R$ 5-50M LGPD fines 4% revenue
AWS Bills Spike R$ 1-10M Crypto mining, scanning
Services Down 24h R$ 100K-1M Revenue loss + reputation
Reputation Damage Incalculável Loss of customers
Regulatory Audit R$ 500K-2M Compliance investigation

✅ CHECKLIST CRÍTICO

DEVEM SER COMPLETADAS HOJE:

  • [ ] 08:00 - Revoke Oracle APEX secret (iC_)
  • [ ] 09:00 - Revoke MSAL Dev ClientSecret + Azure AD app
  • [ ] 10:00 - Revoke PAT Token Azure DevOps
  • [ ] 11:00 - Notify C-suite + Legal + Compliance
  • [ ] 12:00 - Engage IR team (external if possible)
  • [ ] 13:00 - Begin git history scan with TruffleHog
  • [ ] 14:00 - Plan TOKEN_SECRET + RDS rotation
  • [ ] 15:00 - Enable enhanced monitoring (CloudTrail, Azure Logs)
  • [ ] 16:00 - Daily security briefing

📞 ESCALATION CONTACTS

  • CISO: [Data Protection Officer]
  • Legal: [Data breach notification attorney]
  • Compliance: [LGPD/HIPAA compliance officer]
  • Ops: [Infrastructure team lead]
  • Incident Response: [IR team + external firm contact]

📑 Diagramas Detalhados

Consulte os arquivos relacionados:

  1. 02-attack-chain.md - Cadeia completa de ataque, credencial por credencial
  2. 03-azure-ad-apps.md - Ecossistema de 344 apps e relacionamentos
  3. 04-infrastructure-map.md - Mapa de infraestrutura AWS + Azure
  4. 05-secrets-graph.md - Grafo de secrets, dependências e impactos
  5. 06-remediation-plan.md - Plano detalhado de remediação (em preparação)

🔐 CONFIDENCIALIDADE

ESTE DOCUMENTO CONTÉM: - Credenciais ativas (parcialmente ofuscadas) - Detalhes de infraestrutura - Vulnerabilidades específicas - Dados de pacientes potencialmente em risco

DISTRIBUIÇÃO: Apenas C-level, Security, Legal, Compliance, Ops

RETENÇÃO: Máximo 90 dias após remediação completa

Prepared by: Security Audit Team Date: 2026-02-26 Status: CRÍTICO - AÇÃO IMEDIATA OBRIGATÓRIA