Карыстальнікі Google Cloud скардзяцца на рахункі ў тысячы долараў пасля кампраметацыі API-ключоў. Зламыснікі знаходзілі ключы, якія раней служылі для сервісаў накшталт Google Maps, і за лічаныя хвіліны накручвалі выдаткі на дарагіх мадэлях ШІ.
Карыстальнікі Google Cloud скардзяцца на рахункі ў тысячы долараў пасля кампраметацыі API-ключоў. Зламыснікі знаходзілі ключы, якія раней служылі для сервісаў накшталт Google Maps, і за лічаныя хвіліны накручвалі выдаткі на дарагіх мадэлях ШІ.
Google сцвярджае, што гэта не ўразлівасць Google Cloud, а праблема ў галіне: найчасцей інцыдэнты здараюцца з-праз уцечкі API-ключоў у публічных рэпазіторыях кшталту GitHub. Кампанія раіць уключаць шматфактарную аўтэнтыфікацыю, рэгулярна правяраць ключы, не выстаўляць іх у адкрытым кодзе і абмяжоўваць доступ ключа пэўным сервісам, IP-адрасам, HTTP-referer або прыкладанням.
Тым часам апытаныя The Register распрацоўшчыкі і спецыялісты па бяспецы лічаць, што сітуацыя значна складаней. Многія карыстальнікі, паводле іх, выконвалі папярэднія рэкамендацыі Google і трымалі ключы Google Maps у публічным кліенцкім кодзе. Пазней гэтыя ключы давалі доступ да даражэйшых API, калі ў тым жа праекце ўключылі Gemini.
Адзін з пацярпелых — Род Данан, CEO Prentus. Ягоны сервіс гадамі выкарыстоўваў Google Maps, і рахункі звычайна не перавышалі $50 штомесяц. У сакавіку ён атрымаў апавяшчэнне пра спісанне $3000, а пакуль разбіраўся ў крыніцы выдаткаў, сума вырасла яшчэ на $5000. «Што, да чорта, адбываецца? Яно проста выцягвае мае грошы», — прызнаўся ён журналістам.
Да моманту адключэння API з рахунку Данана спісалі $10 138. Амаль уся сума прыйшлася на генерацыю відэа праз Veo 3 і токены Gemini для малюнкаў — сервісы, якімі, паводле яго, кампанія ніколі не карысталася. Google не выявіла прыкмет махлярства і пакуль адмаўляецца вяртаць грошы.
Данан сцвярджае, што праблема ўзнікла праз рэкамендацыі самой Google: ключ Maps трэба было публічна загрузіць у фронтэнд. «А потым яны змянілі ключы так, што публічны ключ Google Maps стаў прыдатным і для Gemini, і не паведамілі пра гэта кліентам», — дадаў ён.
Яшчэ ў лютым пра гэта папярэджвала кампанія кібербяспекі Truffle Security. Даследчык Джо Леон пісаў, што публічныя ключы Google Maps больш нельга лічыць бяспечнымі: калі Gemini API ўключаны ў тым жа праекце, адзін і той жа ключ можа выкарыстоўвацца як для Maps, так і для Gemini. Паводле яго, ён знайшоў каля 3000 такіх ключоў.
Google заяўляе, што цяпер пры стварэнні API-ключоў карыстальнікі павінны наладжваць абмежаванні, і больш нельга стварыць адзін ключ з адначасовым доступам да Gemini і Maps.
Другая праблема — ліміты выдаткаў. Распрацоўшчык Ісуру Фонсэка з Сіднэя кажа, што ўстанавіў ліміт у $250, але пасля атакі выдаткі выраслі прыкладна да 17 000 аўстралійскіх долараў (каля $12 000). Паводле яго, Google магла спісваць грошы, але не мела магчымасці адразу паказаць, куды яны ідуць.
Фонсэка выявіў, што ягоны ліміт аўтаматычна павысіўся да максімуму $100 000. Google пацвердзіла The Register, што такое магло здарыцца: рост выкарыстання мог аўтаматычна перавесці акаўнт на вышэйшы ўзровень Gemini API. Для Tier 3 дастаткова $1000 плацяжоў у Cloud і 30 дзён з моманту першага плацяжу.
Пацярпелыя карыстальнікі працягваюць дабівацца вяртання сродкаў, але баяцца аспрэчваць спісаныя сродкі праз банк: гэта можа прывесці да блякавання іх праектаў у Google Cloud. Данан кажа, што яму ўсё яшчэ патрэбныя Google API, інакш яго прыкладанне перастане працаваць.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.