Користувач Google Cloud залишив API-ключ в проєкті, і його майже обікрали на $18 тисяч

Одного ранку AI-консультант та засновник Agentic Labs Джессі Девіс прокинувся не просто з поганим настроєм, а з рахунком від Google Cloud на понад 25 тисяч австралійських доларів. Це приблизно 18 тисяч доларів США. Хоча взагалі-то бюджет на акаунті був виставлений у 10 доларів.

Що сталося

За ніч зловмисник заволодів API-ключем в Google Cloud. Він знайшов Cloud Run-сервіс, який Девіс колись опублікував з Google AI Studio та зайшов на публічну URL-адресу. А далі вже проксі Google підписував запити від імені цього сервісу, використовуючи API-ключ, який зберігався у контейнері як відкритий текст у змінній середовища.

Сам сервіс не був ніде публічно поширений та не індексувався. Крім того, Девіс притримувався всіх заходів безпеки: у нього були окремі API-ключі для різних проєктів, окремі білінгові акаунти, двофакторна аутентифікація та ввімкнені журнали аудиту.

Тож поки герої цієї історії спав, на акаунт прилетіло близько 60 тисяч неавторизованих запитів.

«Коли я отримав сповіщення про бюджет наступного ранку, з моєї кредитної картки вже списали 10 тисяч австралійських доларів. Під час розмови зі службою підтримки Google надійшло сповіщення ще про 15 тисяч»

При цьому акаунт без попередження та підтвердження був переведений на вищий білінговий рівень: з ліміту у 2000 доларів до 20-100 тисяч доларів.

Як користувач вирішив проблему

Звернувшись у підтримку, Девіс очікувано потрапив на AI-агентів. Ті бачили старі дані та взагалі не розуміли, про який рахунок мова. Коли він дістався до людини, йому порадили вимкнути білінг. Він це зробив — та втратив журнали, які були потрібні для розслідування.

Потім користувача попросили довести, що акаунт зламали. Коли він діставав дані про навантаження, то побачив, що атака все ще триває в реальному часі. Запити йшли тисячами на хвилину, поки він сидів у чаті з підтримкою. На це йому відповіли, що «так буває, коли ви користуєтеся нашими сервісами, споживання росте». А невдовзі проєкт взагалі призупинили за «зловживання».

У підсумку Google все ж скасувала списання на 25 тисяч, а банк повернув кошти, які вже встигли пройти. Втім, підтримка досі не повідомила, який саме ключ використовувався, звідки йшов трафік, що стало тригером для автоматичного підвищення білінгового рівня та чому підтримка так довго не могла розпізнати шахрайські дії.

Чому це трапилося

Після ситуації Девіс уважно вивчив налаштування акаунту та виявив дев’ять функцій безпеки, які мали б зменшити шкоду, чи взагалі запобігти історії. Більшість із них були або вимкнені за замовчуванням, або налаштовані в поблажливому режимі.

Крім того, Девіс з’ясував, що budget alert не зупиняє витрати. Інструмент просто надсилає лист із затримкою, яка, за словами Девіса, може сягати 32 годин. Тобто це сповіщення не для зупинки атаки, а для того, щоб дізнатися про втрати постфактум.

Як зменшити ризики

Розібравшись у ситуації, Девіс сформулював загальні поради, як уникнути такої халепи:

• Увімкнути обмеження для API-ключів та не залишати жодного повністю відкритого ключа.
• Виставити місячний spend cap для кожного проєкту в AI Studio та не залишати його порожнім.
• Перевірити поточний білінговий рівень, щоб розуміти, коли акаунт може автоматично перейти на вищий рівень.
• По можливості використовувати prepaid billing або окремі картки з низьким лімітом для білінгу.
• Вмикати Gemini API logs заздалегідь, а не вже під час інциденту.
• Активувати Your AI spend, щоб бачити атрибуцію витрат по ключах.
• Перевірити Cloud Run-сервіси, особливо якщо щось публікувалося з AI Studio: чи не лежить там ключ у змінних середовища та чи не залишився сервіс публічним.
• Не показувати сирі помилки Gemini в застосунку або журналах.
• Якщо атака вже йде: спочатку відкликати ключ, потім виставити spend cap у 0, та лише після цього вимикати білінг.
• Перед вимкненням білінгу витягти дані з IAM та Logs Explorer, інакше можна втратити докази.
• Спершу дзвонити в банк, а вже потім сперечатися з підтримкою.
• Не покладатися лише на push-сповіщення банку, а перевіряти стан вручну.
• Мати на увазі, що публічний розголос іноді пришвидшує реакцію сильніше, ніж офіційний канал підтримки.

Хоча історія закінчилась позитивно, вражень Девіс отримав на рік вперед. Також він розповів про свої пригоди на Reddit, де кілька коментаторів теж повідомили про подібні випадки. Наприклад, користувач з Японії отримав рахунок на 44 тисячі доларів, який зріс до 128 тисячі навіть після того, як він призупинив API.

Цікаво, що одна з компаній з кібербезпеки ще у лютому повідомляла про ризики, пов’язані з API-ключами в Google Cloud.

«Google казав, що API-ключі Google не є секретами. Але це вже не так: Gemini приймає ті самі ключі для доступу до ваших особистих даних. Ми просканували мільйони веб-сайтів та виявили майже 3000 ключів API Google, що тепер також автентифікуються в Gemini, хоча вони ніколи не були для цього призначені. Маючи дійсний ключ, зловмисник може отримати доступ до завантажених файлів, кешованих даних та стягувати плату за використання LLM з вашого облікового запису»

А ви переглядали Google API-ключі після того, як Gemini почав приймати їх для доступу до пов’язаних сервісів? І взагалі — чи перевіряєте свої проєкти саме з точки зору фінансової безпеки, а не лише технічної?