Uma pesquisa recente revelou que milhares de chaves de API do Google Cloud, usadas como identificadores de projeto para faturamento, podem ser exploradas para acessar endpoints sensíveis do Gemini, permitindo acesso a dados privados. A Truffle Security identificou quase 3.000 chaves de API do Google, com o prefixo “AIza”, embutidas em códigos de cliente para serviços como mapas em sites.
De acordo com o pesquisador de segurança Joe Leon, essas chaves podem ser usadas para acessar arquivos enviados, dados em cache e gerar cobranças de uso de LLM na conta do usuário. O problema surge quando a API do Gemini é ativada em um projeto do Google Cloud, permitindo que chaves de API existentes ganhem acesso não autorizado aos endpoints do Gemini.
A Truffle Security descobriu que a criação de uma nova chave de API no Google Cloud vem com a configuração padrão “Sem restrições”, aplicável a todas as APIs ativadas no projeto, incluindo o Gemini. Isso resultou em milhares de chaves de API que, originalmente inofensivas, agora funcionam como credenciais do Gemini disponíveis publicamente.
O Google reconheceu o problema e já implementou medidas para detectar e bloquear chaves de API vazadas que tentem acessar a API do Gemini. Usuários são aconselhados a revisar suas APIs e serviços no Google Cloud, verificando se APIs relacionadas à inteligência artificial estão habilitadas e acessíveis publicamente. Caso estejam, é recomendado rotacionar as chaves, começando pelas mais antigas.
Especialistas em segurança destacam que mudanças nas operações de APIs ou nos dados que elas podem acessar não são necessariamente vulnerabilidades, mas podem aumentar o risco. A adoção de IA nessas APIs só agrava o problema. É crucial que as organizações monitorem o comportamento e o acesso a dados, identificando anomalias e bloqueando atividades maliciosas.
Fonte:https://thehackernews.com/2026/02/thousands-of-public-google-cloud-api.html
Slug: exposicao-chaves-api-google-cloud-seguranca
