Ключи API Google остаются активными после удаления

Исследователь бельгийского стартапа Aikido Security Джо Леон обнаружил, что ключи API Google могут оставаться активными до 23 минут после удаления, несмотря на заявления облачного провайдера. Это даёт злоумышленникам небольшой, но значительный промежуток времени для дальнейшего злоупотребления.

Леон проанализировал период отзыва — время между удалением ключа и его последней успешной аутентификацией — для ключей API облачного гиганта. Он заявил, что клиенты Google Cloud Platform (GCP) ожидают немедленного прекращения доступа к API после удаления ключа, но это не так.

В серии тестов Леон обнаружил, что медианный период отзыва составляет около 16 минут, а самый длинный — до 23 минут, «невероятно долгое время» для успешной аутентификации ключей API.

«Злоумышленник, удерживающий ваш удалённый ключ, может продолжать отправлять запросы, пока один из них не достигнет сервера, который ещё не обновился. Если Gemini включён в проекте, он может выгрузить загруженные вами файлы и украсть кэшированные сообщения. Консоль GCP не покажет ключ и не сообщит вам, что он всё ещё работает. Вы полагаетесь на инфраструктуру Google, которая в конечном итоге обновится», — сказал Леон. 

Исследователь рассказал, что его вдохновило на изучение окон отзыва ключей в GCP исследование Эдуарда Агаврилоае, соучредителя Offensai. Оно было опубликовано в конце прошлого года и было посвящено задержкам отзыва учётных данных AWS. Но, как отметил Леон, время этих задержек составляли всего четыре секунды, и в AWS отреагировали на проблему. 

Окна отзыва ключей API Google, напротив, были значительно дольше. Исследовательская группа Aikido провела 10 тестов в течение двух дней, в ходе которых были созданы виртуальные машины (ВМ) в разных регионах GCP. Затем ключи API