Автор admin Дослідники з компанії Aikido виявили серйозну прогалину в безпеці: після видалення API-ключа Google він продовжує працювати ще до 23 хвилин. Цього часу цілком достатньо, щоб зловмисники встигли вкрасти дані або накрутити величезний рахунок.
Читайте также: Зонд Psyche пролетів повз планету. NASA показало Марс із рідкісного ракурсу
Співробітник Aikido Джозеф Леон пояснив: видалення ключа поширюється по інфраструктурі Google поступово — одні сервери перестають приймати ключ за секунди, інші продовжують його обробляти майже чверть години. Зловмисник може просто безперервно надсилати запити, поки хоча б один сервер не відхилить їх всі, пише The Register.
Команда провела 10 тестів упродовж двох днів в трьох регіонах Google Cloud — східному узбережжі США, Західній Європі та в Південно-Східній Азії. Середній час вразливості склав 16 хвилин, а максимальний — близько 23.
Якщо проєкт підключений до Gemini, хакер зможе не лише генерувати запити за рахунок жертви, а й отримувати файли, завантажені в сервіс, та мати доступ до кешованих розмов.
Чому це особливо небезпечно саме зараз
У квітні Google змінила політику білінгу, запровадивши рівні витрат. При цьому компанія автоматично підвищує ліміт без відома розробника: для користувачів, що пропрацювали понад 30 днів і витратили понад $1000 за весь час, стеля може злетіти з $250 до $100 000 у разі стрибка активності.
Троє розробників, які постраждали від крадіжки ключів, розповіли: рахунки злетіли до п’ятизначних сум за лічені хвилини після компрометації. Зловмисники активно використовували моделі Gemini, зокрема Nano Banana та відеогенератор Veo 3. У всіх трьох випадках Google потім повернула кошти — загалом $154 000.
Читайте также: Лише для платних користувачів. Google представила екосистему ШІ-агентів для Gmail, Chrome та Android
Відповідь Google: все ОК!
Компанія ознайомилася зі звітом Aikido і закрила його зі статусом «Won’t Fix (Infeasible)» та коментарем: затримка у поширенні видалення ключів є штатною поведінкою системи.
Іронія в тому, що проблема технічно вирішувана: сервісні облікові дані Google Cloud анулюються приблизно за 5 секунд, а новий формат ключів Gemini, що починаються з «AQ», — приблизно за хвилину. Обидва рішення працюють у тому ж масштабі інфраструктури. Тобто Google вміє робити швидкий відгук — просто не захотіла застосовувати його до звичайних API-ключів.
Що робити розробникам
Видалення ключа більше не є надійним способом миттєво зупинити зловживання. Якщо ключ витік — варто одночасно блокувати доступ на рівні проєкту, обмежувати квоти та уважно стежити за білінгом у режимі реального часу.
Нагадаємо, нещодавно один розробник буквально прокинувся в боргах: він забув ключ API в проєкті, а вранці отримав рахунок на $18 000.
Читайте также: Хто Така Берлінська: біографія, кар’єра та особисте життя
Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn