Из-за украденного хакерами API-ключа разработчик потратил на Gemini 82 000 долларов - «Новости» » Интернет технологии
sitename
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Из-за украденного хакерами API-ключа разработчик потратил на Gemini 82 000 долларов - «Новости»

✔Из-за украденного хакерами API-ключа разработчик потратил на Gemini 82 000 долларов - «Новости»

13 марта 2026 0 Новости / Изображения / Заработок / Преимущества стилей / Сайтостроение / Самоучитель CSS / Добавления стилей / Текст / Блог для вебмастеров 0

Разработчик из Мексики рассказал на Reddit, что его компания получила счет на более чем 82 000 долларов США после того, как неизвестные злоумышленники похитили API-ключ Google Gemini и за 48 часов израсходовали весь лимит.


Компрометация ключа произошла между 11 и 12 февраля, и за это время атакующие потратили 82 314 долларов, в основном используя модели Gemini 3 Pro Image и Gemini 3 Pro Text.


Обнаружив проблему, разработчик отозвал скомпрометированный ключ, отключил Gemini API, сменил все учетные данные и обратился в поддержку Google. Однако в компании сослались на модель общей ответственности (shared responsibility): Google обеспечивает безопасность платформы, а пользователи должны сами защищать свои ключи.


Так как обычно стартап из трех человек тратил на API около 180 долларов в месяц, расходы выросли примерно на 46 000%. Пострадавший признается, что если Google попытается взыскать с компании хотя бы треть суммы, она обанкротится.


Следует отметить, что недавно исследователи из Truffle Security просканировали миллионы сайтов и обнаружили 2863 действительных API-ключа, которые изначально служили лишь идентификаторами проектов (и использовались для учета расходов), но теперь позволяют получить доступ к Gemini API. То есть с помощью такого ключа злоумышленник может добраться до чужих данных, а также списать расходы за использование LLM на чужой аккаунт.


Специалисты объясняли, что корень проблемы заключается в формате API-ключей Google Cloud, которые начинаются со строки AIza и легко обнаруживаются при сканировании. Более того, в документации Google для Maps и Firebase прямо указано, что API-ключи не являются секретами и предназначены для идентификации. В случае с Maps в Google даже рекомендуют разработчикам вставлять ключ прямо в HTML-код. Проблема в том, что эти ключи теперь используются и для Gemini, однако никто не предупреждал об этом пользователей.


Как пояснил исследователь Джо Леон (Joe Leon) из Truffle Security — ключ, созданный три года назад для Maps и вставленный в исходный код сайта по инструкции Google, после включения Gemini API автоматически превращается в учетные данные для Gemini. Любой, кто найдет этот ключ, получит доступ к загруженным файлам, кешу и сможет тратить чужие средства.


Исследователи уже уведомили о проблеме Google, подкрепив свои слова примером с публичного сайта, где ключ, размещенный еще в 2023 году, открывал доступ к Gemini API. Изначально в ноябре 2025 года специалисты Google отклонили отчет о проблеме, посчитав описанное поведение «штатным». Однако после того как эксперты предоставили примеры из собственной инфраструктуры Google, отчет переквалифицировали в категорию «баг», его уровень серьезности был повышен, и в Google запросили список всех 2863 обнаруженных ключей.


По состоянию на начало февраля в Google сообщали, что работа над исправлением проблемы ведется, но конкретных результатов пока нет. Представители компании заявляли, что уже внедрили проактивные меры для обнаружения и блокировки утекших API-ключей при попытке доступа к Gemini API.


Специалисты Truffle Security рекомендуют всем пользователям Google Cloud проверить свои ключи с помощью опенсорсного инструмента TruffleHog, который сканирует код, CI/CD-пайплайны и веб-ресурсы на предмет утечек.


«Паттерн, который мы обнаружили — когда публичные идентификаторы незаметно обрастают чувствительными привилегиями — не уникален для Google. Чем больше организаций наспех добавляют ИИ-возможности к существующим платформам, тем сильнее расширяется поверхность атаки через старые учетные данные, и это происходит таким образом, которого никто не ожидал», — отмечает Леон.


Разработчик из Мексики рассказал на Reddit, что его компания получила счет на более чем 82 000 долларов США после того, как неизвестные злоумышленники похитили API-ключ Google Gemini и за 48 часов израсходовали весь лимит. Компрометация ключа произошла между 11 и 12 февраля, и за это время атакующие потратили 82 314 долларов, в основном используя модели Gemini 3 Pro Image и Gemini 3 Pro Text. Обнаружив проблему, разработчик отозвал скомпрометированный ключ, отключил Gemini API, сменил все учетные данные и обратился в поддержку Google. Однако в компании сослались на модель общей ответственности (shared responsibility): Google обеспечивает безопасность платформы, а пользователи должны сами защищать свои ключи. Так как обычно стартап из трех человек тратил на API около 180 долларов в месяц, расходы выросли примерно на 46 000%. Пострадавший признается, что если Google попытается взыскать с компании хотя бы треть суммы, она обанкротится. Следует отметить, что недавно исследователи из Truffle Security просканировали миллионы сайтов и обнаружили 2863 действительных API-ключа, которые изначально служили лишь идентификаторами проектов (и использовались для учета расходов), но теперь позволяют получить доступ к Gemini API. То есть с помощью такого ключа злоумышленник может добраться до чужих данных, а также списать расходы за использование LLM на чужой аккаунт. Специалисты объясняли, что корень проблемы заключается в формате API-ключей Google Cloud, которые начинаются со строки AIza и легко обнаруживаются при сканировании. Более того, в документации Google для Maps и Firebase прямо указано, что API-ключи не являются секретами и предназначены для идентификации. В случае с Maps в Google даже рекомендуют разработчикам вставлять ключ прямо в HTML-код. Проблема в том, что эти ключи теперь используются и для Gemini, однако никто не предупреждал об этом пользователей. Как пояснил исследователь Джо Леон (Joe Leon) из Truffle Security — ключ, созданный три года назад для Maps и вставленный в исходный код сайта по инструкции Google, после включения Gemini API автоматически превращается в учетные данные для Gemini. Любой, кто найдет этот ключ, получит доступ к загруженным файлам, кешу и сможет тратить чужие средства. Исследователи уже уведомили о проблеме Google, подкрепив свои слова примером с публичного сайта, где ключ, размещенный еще в 2023 году, открывал доступ к Gemini API. Изначально в ноябре 2025 года специалисты Google отклонили отчет о проблеме, посчитав описанное поведение «штатным». Однако после того как эксперты предоставили примеры из собственной инфраструктуры Google, отчет переквалифицировали в категорию «баг», его уровень серьезности был повышен, и в Google запросили список всех 2863 обнаруженных ключей. По состоянию на начало февраля в Google сообщали, что работа над исправлением проблемы ведется, но конкретных результатов пока нет. Представители компании заявляли, что уже внедрили проактивные меры для обнаружения и блокировки утекших API-ключей при попытке доступа к Gemini API. Специалисты Truffle Security рекомендуют всем пользователям Google Cloud проверить свои ключи с помощью опенсорсного инструмента TruffleHog, который сканирует код, CI/CD-пайплайны и веб-ресурсы на предмет утечек. «Паттерн, который мы обнаружили — когда публичные идентификаторы незаметно обрастают чувствительными привилегиями — не уникален для Google. Чем больше организаций наспех добавляют ИИ-возможности к существующим платформам, тем сильнее расширяется поверхность атаки через старые учетные данные, и это происходит таким образом, которого никто не ожидал», — отмечает Леон.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: