كشف بحث جديد عن ثغرة خطيرة في Google Cloud حيث يمكن لمفاتيح API المكشوفة الوصول إلى بيانات Gemini الحساسة. وجدت Truffle Security ما يقرب من 3,000 مفتاح API يمكن استغلالها للوصول إلى بيانات خاصة وتحميل الضحايا فواتير ضخمة.
ما هي مشكلة مفاتيح Google Cloud API؟
بحسب ما وجده فريق تيكبامين، المشكلة تكمن في أن مفاتيح API المصممة أصلاً لأغراض الفوترة يمكنها الآن المصادقة على خدمات Gemini الحساسة.
عندما يقوم المستخدمون بتفعيل Gemini API على مشروع Google Cloud، تكتسب مفاتيح API الموجودة صلاحيات الوصول إلى نقاط النهاية الخاصة بـ Gemini دون أي تحذير.
كيف يستغل المهاجمون هذه الثغرة؟
مع مفتاح API صالح، يمكن للمهاجمين:
- الوصول إلى الملفات المرفوعة
- استخراج البيانات المخزنة مؤقتاً
- استهلاك حصة LLM وتحميل الفواتير للضحايا
- إجراء مكالمات Gemini API
كم عدد المفاتيح المكشوفة؟
وجدت Truffle Security 2,863 مفتاح API حي متاح على الإنترنت العام، بما في ذلك موقع مرتبط بـ Google نفسها.
المشكلة الأكبر هي أن إنشاء مفتاح API جديد في Google Cloud يتم افتراضياً على وضع "غير محدود"، مما يعني أنه قابل للتطبيق على كل API مفعّل في المشروع.
ما المخاطر الإضافية؟
كشف تقرير لشركة Quokka عن أكثر من 35,000 مفتاح Google API فريد مدمج في 250,000 تطبيق Android.
حسب تيكبامين، فإن المخاطر تتجاوز الإساءة المالية المحتملة:
- الوصول إلى خدمات السحابة الأوسع
- التفاعل مع الخدمات المتصلة
- توسيع نطاق التأثير للمفتاح المختلس
ماذا فعلت Google لحل المشكلة؟
في البداية اعتُبر هذا السلوك مقصوداً، لكن Google تدخلت لاحقاً لمعالجة المشكلة بعد الاكتشاف الخطير.
النتيجة: آلاف مفاتيح API التي كانت تُستخدم كرموز فوترة benign أصبحت الآن اعتمادات Gemini حية على الإنترنت العام.
يجب على المؤسسات مراجعة أمان مفاتيح API الخاصة بها فوراً والتأكد من أنها محمية بشكل صحيح لتجنب أي خسائر مالية أو تسريب للبيانات.
