Bug2Lab — Утечка секретов и паролей в логах

Утечка секретов и паролей в логах

При неуспешном логине сервис пишет в логи и логин, и пароль. Эти логи уходят в централизованное хранилище, где их видят десятки людей. Фикс — никогда не логировать пароли, токены, ключи.

Как выглядит атака

Атакующий просто пробует войти. Пароль (даже если неверный) попадает в логи. Потом он ищет свои попытки в /internal/logs и вытягивает пароли жертв.

GET /internal/logs?lines=20
200 OK

WARN Login failed for user alice@example.com with password "Qwerty123!"
WARN Login failed for user bob@example.com with password "Summer2024!"

Почему это стало возможным

Логгер пишет полный ввод, включая пароль и токены. Это часто делается «для отладки».

Проблемный код
catch (AuthException e) {
    log.warn("Login failed for user {} with password {}", username, password); // ❌
    throw e;
}

Как это чинится правильно

Никогда не логируем секреты. В логах только high-level факт: «неуспешный логин», без чувствительных данных.

Исправленный паттерн
catch (AuthException e) {
    log.warn("Login failed for user {}", username); // ✅ без пароля
    throw e;
}

bug2regressРегрессионный тест

После неуспешного логина скачиваем последние строки лога. Если там видно поле password или строку, похожую на секрет — билд стопаем.

#!/bin/bash # logleak-check.sh curl -s -X POST https://staging.example.internal/login \ -d "username=test@example.com&password=SuperSecret123" > /dev/null LOGS=$(curl -s "https://staging.example.internal/internal/logs?lines=20") if echo "$LOGS" | grep -Ei "password|Secret123|Bearer|API_KEY"; then echo "[BLOCK] Логи содержат пароль / токен" exit 1 fi echo "[OK] Чувствительные данные не логируются" exit 0

Это защищает от утечки паролей через собственную observability-инфраструктуру.

Проверка пониманияГде косяк?

Пароль пользователя логировался в plain text.

Эти логи доступны множеству людей и сервисов.

Фикс — логировать только факт ошибки, без секрета.

Проблема — в отсутствии HTTPS.

Стандарт:секреты, токены, пароли, номера карт — не попадают в логи вообще, никогда, ни при каких обстоятельствах.

Теория (по желанию) Логи — это не «только для админов». Это по факту ещё один канал утечки

📜1. Что произошло?

Мы логируем пароли прямо в WARN. Эти логи уходят в централизованную систему, куда имеют доступ не только разработчики, но и поддержка, SOC, подрядчики по мониторингу. То есть мы сами раскидали пароли клиентов по целой экосистеме людей и сервисов.

🔑2. Чем это опасно?

Пароли пользователей → мгновенный компромисс их аккаунтов.
Если пользователь реюзит пароль — компромисс и в других сервисах.
Если в лог попадает токен доступа/refresh — это прямой захват сессии.

И самое жёсткое — это потом утечёт как «база логов» с внутреннего сервера, и выглядит так, будто вы сливали секреты специально.

🧪3. Почему так делают?

«Нам нужно отладить, почему не проходит логин».
«На стейдже можно, всё равно потом выключим» — но не выключили.
Код «временно» уехал в прод.

Это очень частая история «потом уберём логирование», которое никто не убрал.

📏4. Новый стандарт

Запрещено логировать секреты (пароли, токены, ключи API, номера карт, персональные данные).
Логируем только факт события: «логин неуспешен для alice@example.com».
Если нужно подробности — храним их безопасно отдельно, с явными правами доступа, а не в общем логе.

🚦5. Зачем регресс?

Потому что завтра кто-то снова добавит log.debug("Token = {}", token). Регрессионный тест просто ищет в логах паттерны типа «password», «Bearer», «API_KEY» и, если находит — валит билд. Это автоматическое сдерживание утечек.

bug2regressРегрессионный тест

Проверка пониманияГде косяк?

Теория (по желанию) Логи — это не «только для админов». Это по факту ещё один канал утечки раскрыть

Теория (по желанию) Логи — это не «только для админов». Это по факту ещё один канал утечки