Uma pesquisa recente revelou que milhares de chaves de API públicas do Google Cloud, destinadas a identificar projetos para fins de cobrança, podem ser exploradas para acessar endpoints sensíveis do Gemini, comprometendo dados privados. A Truffle Security identificou quase 3.000 chaves de API do Google, com prefixo “AIza”, incorporadas em códigos de cliente para serviços como mapas em sites.
Essas chaves, quando válidas, permitem que invasores acessem arquivos carregados e dados em cache, além de gerar custos significativos para os proprietários das contas. O problema surge quando a API do Gemini é ativada em um projeto do Google Cloud, permitindo que as chaves existentes acessem endpoints do Gemini sem aviso prévio. Isso expõe as chaves a usos maliciosos, como acesso a arquivos sensíveis e chamadas à API do Gemini, resultando em cobranças elevadas.
A Truffle Security descobriu que a criação de novas chaves de API no Google Cloud é, por padrão, “Sem Restrições”, aplicando-se a todas as APIs habilitadas no projeto, incluindo a Gemini. No total, foram encontradas 2.863 chaves ativas acessíveis publicamente, inclusive em um site associado ao Google.
Após a divulgação, o Google afirmou estar ciente do problema e já implementou medidas para detectar e bloquear chaves de API vazadas que tentem acessar a API do Gemini. A empresa reforçou seu compromisso com a proteção dos dados e infraestrutura dos usuários.
Usuários com projetos no Google Cloud devem verificar se APIs relacionadas à inteligência artificial estão habilitadas e, se estiverem acessíveis publicamente, devem rotacionar as chaves, começando pelas mais antigas. Isso é crucial, pois essas chaves podem ter sido implantadas sob a orientação de que eram seguras para compartilhamento, mas ganharam privilégios do Gemini retroativamente.
Tim Erlin, estrategista de segurança da Wallarm, destacou a importância de testes contínuos de segurança e escaneamento de vulnerabilidades. Ele enfatizou que mudanças nas operações das APIs podem aumentar os riscos, especialmente com a adoção de inteligência artificial, que acelera esses problemas. Identificar vulnerabilidades não é suficiente; é necessário monitorar e bloquear atividades maliciosas ativamente.
Fonte:https://thehackernews.com/2026/02/thousands-of-public-google-cloud-api.html
