Новий кошмар програмістів: хакер вкрав ключ API і залишив борг перед Google на $82 000

Уявіть: ваш звичайний рахунок за хмарні послуги становить близько $180 на місяць. Ви прокидаєтеся, перевіряєте пошту, а там — сповіщення про заборгованість у $82,314.44. Це не помилка системи, а реальний кейс розробника, про який розповідає The Register.

Що сталося?

Усього за 48 годин (з 11 по 12 лютого) невідомі зловмисники, отримавши доступ до викраденого API-ключа Google Cloud, влаштували справжній «бенкет» за чужий рахунок. Основний удар припав на новітні моделі: Gemini 3 Pro Image та Gemini 3 Pro Text.

Замість звичних лімітів, хакери витиснули з ключа максимум, збільшивши витрати компанії у 455 разів.

Позиція Google: «Ваш ключ — ваші проблеми»

Розробник, який опинився в стані «шоку та паніки», негайно видалив скомпрометований ключ, оновив облікові дані та звернувся до підтримки Google. Проте відповідь виявилася холодною: Google посилається на модель спільної відповідальності (Shared Responsibility Model). Згідно з нею, корпорація забезпечує безпеку платформи, але клієнт зобов’язаний самостійно охороняти свої інструменти та доступи.

Тепер Google відмовляється анулювати рахунок, наполягаючи на повній оплаті за «авторизоване»  використання.

 

На жаль, це не поодинокий випадок. Дослідники безпеки вже б’ють на сполох: у мережі виявлено щонайменше 2,863 активних API-ключів, які випадково потрапили у відкритий доступ (на GitHub, у логах або через незахищені розширення Chrome). Вкрасти ключ можуть через Chrome-панель Gemini — вона нещодавно стала напрямком для атак, оскільки шкідливі розширення в браузері можуть перехоплювати привілеї та викрадати дані.

Як не стати наступною жертвою?

Щоб ваш стартап не пішов з молотка через витівки хакерів, варто дотримуватися базових заходів безпеки:

• Ліміти (Quotas): Завжди встановлюйте жорсткі обмеження бюджету в Google Cloud Console. Краще зупинити сервіс, ніж отримати рахунок на вартість квартири.
• Ротація ключів: Змінюйте ключі регулярно та не зберігайте їх у відкритому коді.
• Моніторинг: Налаштуйте сповіщення про різке зростання трафіку.

Для автора цієї історії ситуація залишається критичною — компанія стоїть на межі банкрутства, сподіваючись, що публічний розголос змусить Google піти на поступки.

Нагадаємо, не так давно Wikipedia закликала розробників припинити безкоштовно збирати її дані — для цього є платний API.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn