Вор украл ключ API Gemini и накрутил счета на $82 000 за два дня, компания-жертва на грани банкротства

/ ТехнологииНовости / Технологии

Пользователь Google Gemini обратился на Reddit «в состоянии шока и паники». Причиной стал последний счёт, выставленный его компании по разработке программного обеспечения. Обычно пользователь с ником RatonVaquero тратит на услуги Gemini AI около $180 (~14400 рублей) в месяц. Однако за последние 48 часов прошлого месяца на его счёте «сгенерировались расходы в размере $82 314,44» (~6,6 млн рублей). Злоумышленник использовал скомпрометированный ключ API для генерации огромного количества изображений и текстов с помощью модели Gemini 3 Pro. Если Google не отменит эти колоссальные списания, компания-жертва окажется на грани банкротства.

После кражи RatonVaquero предпринял стандартные меры: удалил скомпрометированный ключ, отключил API Gemini, сменил учётные данные, включил двухфакторную аутентификацию, ужесточил политики доступа и открыл обращение в службу поддержки. Однако первоначальный ответ представителя Google указывает на то, что списанные средства, вероятно, не вернут.

Судя по обсуждению на Reddit, Google, похоже, будет ссылаться на свою «Модель разделённой ответственности» для облачных сервисов. Согласно этому соглашению, клиенты обязаны обеспечивать безопасность своих API-ключей с помощью систем аутентификации и политик доступа. При этом некоторые пользователи отмечают, что утечка ключей могла произойти из-за того, что Google изменил правила их защиты, что сделало их более уязвимыми.

RatonVaquero, один из трёх разработчиков в пострадавшей мексиканской фирме, жалуется, что у Google нет «базовых защитных механизмов от катастрофических аномалий в использовании». Резкий скачок с $180 до более чем $82 000 за 48 часов действительно выглядит экстремальным. Он также заявил, что в сервисе должны быть функции временной заморозки услуг при подозрительной активности и установки лимитов расходов для каждого API.

Изображение: Google Gemini

Анализ ситуации показывает, что обычные пользователи Gemini защищены от перерасхода фиксированной ежемесячной платой. Пользователи Dev/Business Google AI Studio могут устанавливать квоты на количество запросов, а клиенты Google Cloud (Vertex AI) — настраивать оповещения о бюджете. Однако, судя по всему, этих мер оказалось недостаточно.

RatonVaquero сообщил, что вскоре снова поговорит с представителем Google и уже подал заявление о киберпреступлении в ФБР. Теперь он надеется на смягчение позиции корпорации. Он может предоставить логи, показывающие аномальный скачок использования в 455 раз, и запросить компенсацию как жертва киберинцидента. Ситуация кажется бюрократическим тупиком, но настойчивость иногда помогает добиться пересмотра дела.

Интересный факт: Подобные инциденты с утечкой API-ключей и последующими огромными счетами — не редкость в облачной индустрии. В 2024 году был громкий случай, когда разработчик случайно опубликовал ключ от OpenAI в своём репозитории на GitHub, что привело к расходам в десятки тысяч долларов за несколько дней. Это подчёркивает важность инструментов мониторинга расходов и строгого соблюдения правил безопасности, даже для небольших команд.

Источник: Tomshardware.com

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии