Mesmo após exclusão, APIs do Google Cloud permanecem ativas por 23 minutos

Chaves API excluídas do Google Cloud continuam funcionando por até 23 minutos após a exclusão. A descoberta é de pesquisadores da empresa de segurança Aikido Security e falha afeta serviços ligados ao Gemini, BigQuery, Maps, além de outras APIs da plataforma. O problema pode permitir abuso de contas, vazamento de dados e cobranças inesperadas mesmo depois que a vítima tenta bloquear o acesso.

A descoberta expõe um comportamento pouco conhecido da infraestrutura do Google. Quando um usuário apaga uma chave de API, a revogação não acontece imediatamente em todos os servidores da empresa. Em vez disso, a informação se propaga aos poucos pela rede global do Google.

Infraestrutura do Google demora para reconhecer exclusão

Na prática, isso significa que alguns sistemas reconhecem a exclusão em segundos. Outros continuam aceitando a chave antiga por vários minutos. Durante esse intervalo, um invasor ainda consegue autenticar requisições normalmente.

Os pesquisadores chamam esse período de “janela de revogação”. É o tempo entre a exclusão da credencial e o momento em que ela realmente deixa de funcionar. Nos testes realizados pela Aikido, a maior janela encontrada chegou a quase 23 minutos.

Testes mostraram comportamento imprevisível

Para medir o problema, a empresa realizou dez testes ao longo de dois dias. Em cada tentativa, os pesquisadores criavam uma chave de API, apagavam a credencial e continuavam enviando requisições autenticadas várias vezes por segundo.

O resultado mostrou comportamento imprevisível. Algumas requisições falhavam imediatamente, enquanto outras continuavam sendo aceitas mesmo muitos minutos depois da exclusão. Segundo a empresa, isso acontece porque diferentes servidores do Google atualizam as informações em velocidades diferentes.

Vazamento de credenciais pode gerar prejuízos elevados

O risco se torna mais grave em casos de vazamento de credenciais. Se um criminoso obtiver acesso a uma chave de API roubada, ele pode continuar utilizando a credencial mesmo depois que a vítima acredita ter encerrado o problema.

Segundo os pesquisadores, um atacante pode automatizar milhares de requisições até encontrar servidores que ainda não receberam a atualização de revogação. Se a chave possuir acesso ao Gemini, o criminoso ainda pode consultar arquivos enviados para a plataforma e acessar contexto armazenado em cache.

A situação ganhou mais atenção após relatos de abuso envolvendo APIs do Gemini. O site The Register documentou casos em que desenvolvedores receberam cobranças de cinco dígitos depois que suas credenciais foram comprometidas.

Os criminosos utilizaram as chaves roubadas para sobrecarregar modelos de inteligência artificial do Google, incluindo ferramentas de geração de vídeo e imagem. Em alguns casos, as vítimas tentavam interromper os gastos enquanto os custos aumentavam em milhares de dólares em poucos minutos.

Mensagem do painel cria falsa sensação de segurança

Os pesquisadores também apontaram problemas na interface do Google Cloud. Ao excluir uma chave, o painel informa que ela “não poderá mais ser usada”. Segundo a Aikido, essa mensagem cria falsa sensação de segurança, já que a credencial continua válida em parte da infraestrutura.

Os testes ainda revelaram diferenças regionais. Curiosamente, servidores localizados mais distantes dos Estados Unidos detectavam a exclusão mais rapidamente do que sistemas próximos da costa leste norte-americana. A empresa acredita que fatores ligados a cache, roteamento e replicação de dados expliquem o comportamento.

Google não pretende alterar funcionamento atual

A falha afeta principalmente chaves antigas de API do Google. Outros formatos de credenciais possuem revogação mais rápida. Chaves modernas do Gemini, identificadas pelo prefixo “AQ”, param de funcionar em cerca de um minuto. Já credenciais de contas de serviço levam aproximadamente cinco segundos para serem invalidadas.

Para os pesquisadores, isso mostra que o problema é tecnicamente solucionável. Mesmo assim, o Google informou que não pretende alterar o funcionamento atual. Segundo a Aikido, a empresa classificou o caso como “funcionando conforme esperado”.

Até que exista uma mudança, os pesquisadores recomendam que empresas tratem a exclusão de chaves como um processo de até 30 minutos. Durante esse período, organizações devem monitorar tráfego suspeito, limitar APIs críticas e acompanhar possíveis tentativas de abuso da credencial comprometida.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.