Kunci API Google tetap bisa digunakan 23 menit setelah dihapus

Menghapus kunci API Google yang bocor tidak langsung menghentikan penyalahgunaan. Penyerang masih dapat menggunakannya selama rata-rata 23 menit, dengan tingkat keberhasilan di atas 90%, menurut perusahaan keamanan Aikido.

TechCrunch mewawancarai COO Google Cloud Francis de Souza, yang mengakui masalah ini. "Keamanan bukanlah sesuatu yang bisa ditambahkan kemudian, dan bukanlah sesuatu yang bisa diserahkan kepada karyawan untuk dilakukan sendiri," katanya.

Bagaimana jendela 23 menit terjadi

Masalah ini terungkap setelah beberapa pengembang mengalami kerugian finansial. Pengembang Google Cloud Rod Danan menerima tagihan $10.138 dalam waktu 30 menit setelah penyerang menggunakan kunci API-nya untuk menjalankan inferensi Gemini. Pengembang lain, Isuru Fonseka dari Sydney, Australia, menetapkan batas pengeluaran $250 tetapi tetap menerima tagihan AUD $17.000. Batas pembayaran otomatis adalah $100.000, yang secara teoritis dapat membuatnya bangkrut dalam semalam.

Lebih buruk lagi, kunci yang dicuri awalnya untuk Google Maps, tetapi penyerang menggunakannya untuk mengakses layanan Gemini. Batasan izin API Google tidak jelas—kunci Maps dapat membuka pintu Gemini.

Peneliti Aikido Joseph Leon menemukan bahwa mencabut kunci API Google yang bocor membutuhkan waktu rata-rata 23 menit untuk menyebar secara global. Selama waktu itu, penyerang dapat terus menggunakan kunci tersebut dengan tingkat keberhasilan di atas 90%. "Keduanya berjalan di skala Google. Keduanya menunjukkan bahwa ini secara teknis dapat dipecahkan untuk kunci API Google juga," kata Leon, mencatat bahwa kredensial akun layanan dapat dicabut dalam 5 detik dan kunci awalan AQ Gemini dalam waktu sekitar 1 menit.

COO Google mengakui mereka belajar sambil jalan

Wartawan TechCrunch Connie Loizos bertanya kepada de Souza di sebuah acara di Los Angeles. "Akan ada masa transisi, dan kemudian saya pikir kita akan mencapai tempat yang lebih baik," katanya, menyiratkan bahwa perusahaan belum menyelesaikan masalah. Dia menyarankan pelanggan perusahaan untuk mengadopsi "pendekatan platform": "Selain aset biasa Anda, sekarang Anda memiliki model. Anda memiliki saluran data yang digunakan untuk melatih model."

CISO LinkedIn Lea Kissner menambahkan: "Kita akan membutuhkan orang untuk menangani bug-pocalypse." Istilah ini merujuk pada ledakan kode yang dihasilkan AI yang tidak dapat diimbangi oleh tinjauan keamanan.

Kecepatan serangan juga meningkat

Penelitian yang sama menunjukkan bahwa waktu dari pelanggaran awal ke tahap serangan berikutnya telah turun dari 8 jam menjadi 22 detik. Sementara pencabutan kunci API Google membutuhkan waktu 23 menit, kredensial akun layanan dapat dicabut dalam 5 detik, dan kunci awalan AQ Gemini dalam waktu sekitar 1 menit. Tingkat keberhasilan serangan selama jendela 23 menit melebihi 90%.

Pergeseran dari 8 jam menjadi 22 detik berarti tim keamanan tidak lagi dapat menganalisis peringatan secara manual. Rantai serangan yang dibantu agen AI telah memampatkan pergerakan lateral menjadi hitungan detik—persis seperti yang disebut Kissner sebagai "bug-pocalypse."

Siapa yang bertanggung jawab

Masalah ini memiliki dua lapisan. Di permukaan, mekanisme pencabutan kunci API Google cacat. Secara teknis dapat dipecahkan, tetapi tidak diprioritaskan. Pada tingkat yang lebih dalam, pengembang menyematkan kunci dalam kode sisi klien (misalnya, kunci Google Maps di frontend), yang kemudian bocor dan digunakan untuk memanggil API berbayar. Desain API Google memiliki bug: kunci Maps seharusnya tidak dapat memanggil Gemini secara langsung; batasan izin tidak jelas.

Pengakuan "masa transisi" de Souza berarti praktik terbaik Google belum matang. Namun pelanggan sudah ditagih. Google telah memberikan pengembalian dana sebagian kepada pengembang yang terkena dampak tetapi belum berkomitmen untuk mengurangi jendela 23 menit. Pakar keamanan mengatakan konfigurasi aman default lebih penting daripada perbaikan pasca-kejadian. Jendela 23 menit Google adalah default yang tidak dipertanyakan siapa pun sampai Aikido mengungkapnya.

Pertanyaan selanjutnya adalah apakah penyedia cloud lain akan mengeksploitasi ini. Pencabutan IAM AWS membutuhkan waktu beberapa detik, dan Azure serupa. Jika pendapatan Google Cloud berikutnya menunjukkan churn pelanggan, insiden ini mungkin penyebabnya.

Sumber: CocoLoop; Everyone is navigating AI security in real time — even Google (TechCrunch)