Пользователь Google Cloud получил счёт на $18 000 при бюджете в $7 из-за забытого публичного API-ключа

/ ТехнологииНовости / Технологии

Консультант по ИИ из Австралии Джесси Дэвис (Jesse Davies) в начале апреля обнаружил шокирующий счёт от Google Cloud на сумму 25 672,86 австралийских долларов (примерно $18 392 или ~1 471 000 рублей), несмотря на установленный бюджет в 10 австралийских долларов (около $7). Всё произошло буквально за одну ночь.

Как Дэвис подробно описал в посте на LinkedIn, он был хорошо знаком с Google AI Studio и соблюдал практики безопасности: использовал отдельные API-ключи для проектов, разные платёжные аккаунты, двухфакторную аутентификацию и логирование. Однако все эти меры оказались бесполезными из-за одного уязвимого звена — забытого публичного API-ключа.

«Злоумышленник не крал мой ключ. Он нашёл сервис Cloud Run, который я опубликовал через AI Studio несколько месяцев назад, обратился к публичному URL, и собственный прокси Google подписывал каждый запрос от его имени, используя API-ключ, хранившийся в контейнере в виде обычного текста», — написал Дэвис.

Атака была масштабной: злоумышленник отправил более 60 000 запросов, быстро превысив лимит расходов в $1 400. Ситуацию усугубило то, что Google автоматически повысил уровень учётной записи Дэвиса с Tier 2 (лимит $2 000) на следующий, когда порог в $1 000 был превышен. Это увеличило лимит расходов до $20 000–100 000, что привело к огромным списаниям.

Пользователь также отметил, что девять функций безопасности Google Cloud, которые могли бы предотвратить инцидент, по умолчанию были отключены. К тому же, получить помощь оказалось непросто: на связь с живым сотрудником службы поддержки ушло несколько дней. К счастью, в итоге Google аннулировал основной платёж, а банк вернул средства по уже проведённым транзакциям. Тем не менее, вопрос до конца не урегулирован, и у Дэвиса запланирована встреча с менеджерами компании.

На Reddit, в сабреддите r/googlecloud, другие пользователи поделились похожими историями. Один из комментаторов из Японии сообщил о счёте в $44 000, который вырос до $128 000 даже после приостановки API. Ранее в этом месяце мы уже писали о случае, когда из-за утечки API-ключа с аккаунта, который обычно тратил около $180 в месяц, было списано $82 314.

Кибербезопасность компании Truffle Security уже обращала внимание на риски, связанные с использованием Google Cloud единого формата API-ключей. Эти ключи ранее использовались как идентификаторы проектов, но при активации Gemini API в любом проекте Google Cloud они становятся учётными данными для Gemini. Это позволяет любому, кто скопирует такой ключ, накручивать счета за использование ИИ. Эксперты полагают, что подобных «историй ужасов» станет больше, если Google не пересмотрит политики безопасности для Gemini.

Источник: Tomshardware.com

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ в комментариях

Вы можете задать вопрос нашему ИИ-помощнику прямо в комментариях к этой статье. Он постарается быстро ответить или уточнить информацию.

⚠️ ИИ может ошибаться — проверяйте важную информацию.

0 комментариев

Оставить комментарий

Все комментарии - Технологии