Прокинувся в боргах: розробник забув ключ API в проєкті, вранці отримав рахунок на $18 000

Уявіть: ви встановлюєте в Google Cloud ліміт витрат у $7, лягаєте спати, а зранку отримуєте сповіщення про заборгованість у $18,391. Саме такий неприємний сюрприз чекав на австралійця Джессі Девіса, засновника Agentic Labs, через одну технічну помилку та наполегливого зловмисника.

Згідно з дописом розробника в LinkedIn, він добре знав Google AI Studio та дотримувався всіх правил, таких як ключі API для кожного проекту, окремі платіжні облікові записи, двофакторна автентифікація та ведення журналу аудиту хмарних технологій. Однак, достатньо було лише однієї слабкої ланки, щоб звести нанівець ці запобіжні заходи, про що свідчить шокуюче великий рахунок за одну ніч.

Що пішло не так?

Виявляється, причиною став не злам облікового запису, а «забутий» сервіс. Кілька місяців тому Девіс опублікував проєкт через Google AI Studio у Cloud Run.

• Механіка вразливості: API-ключ зберігався як звичайна текстова змінна середовища (plaintext environment variable) всередині контейнера.
• Дія зловмисника: Хтось знайшов публічну URL-адресу сервісу та надіслав понад 60,000 запитів.
• Фатальна помилка проксі: Оскільки ключ був інтегрований у сервіс, проксі-сервер Google автоматично підписував кожен запит зловмисника, фактично оплачуючи чужі розваги з гаманця Девіса.

Чому не спрацювали «запобіжники»?

Найбільш тривожним у цій історії є те, що Девіс мав налаштовані ліміти. Окрім основного бюджету в $7, він встановив жорстку межу (spending cap) на рівні $1,400. Проте система Google Cloud просто «пролетіла» повз ці обмеження, не зупинивши нарахування коштів вчасно.

«Атакувальник не викрадав мій ключ. Він просто знайшов публічну адресу, а інфраструктура Google зробила все інше за нього», — зазначає Девіс.

Найгірше те, що Google автоматично підвищив рівень облікового запису Девіса без жодних повідомлень. Спочатку обліковий запис був на рівні 2, який мав ліміт у $2000, але Google автоматично підвищив його до наступного рівня, коли обліковий запис перетнув поріг у 1000 доларів під час інциденту. Це збільшило ліміт до $20 000–100 000. Хоча це, ймовірно, розроблено для полегшення масштабування сервісу, це також має небажаний ефект – витрати для користувача вищі, ніж передбачалося, наприклад, якщо він стає жертвою атаки.

Системна проблема Google Gemini?

Цей випадок — не поодинокий. Останнім часом користувачі Google Cloud масово скаржаться на аналогічні ситуації:

1. Зміна правил гри: Раніше ключі Google API (наприклад, для Google Maps) вважалися технічними ідентифікаторами, а не секретними даними. Але з активацією Gemini API ті самі ключі стали повноцінними обліковими даними для доступу до дорогих ШІ-моделей.
2. Масштаби катастроф: В Японії один із розробників отримав рахунок на $128,000, а інший користувач повідомив про борг у $82,000 при звичайних витратах у $180 на місяць.

Як не стати наступною жертвою:

Порада	Що саме зробити
Сховайте ключі	Ніколи не зберігайте API-ключі як змінні оточення у відкритому тексті. Використовуйте Secret Manager.
Обмежте API	У налаштуваннях ключа чітко вкажіть, до яких сервісів він має доступ (наприклад, тільки Maps, але не Gemini).
Автоматичний Kill-Switch	Налаштуйте скрипт, який через Pub/Sub повністю вимикає білінг-аккаунт при досягненні ліміту (стандартні сповіщення Google часто приходять із запізненням).
Моніторинг	Використовуйте сповіщення про аномалії витрат (Anomaly Detection), а не лише фіксовані бюджети.

Щасливий (відносно) фінал

Джессі Девісу знадобилося кілька днів, щоб пробитися крізь автоматизовані відповіді до живого оператора підтримки. Зрештою, Google погодився анулювати рахунок. Але нерви та репутаційні ризики для бізнесу оцінити складніше.

Нагадаємо, не так давно хакер з Волинської області зламав комп’ютер бухгалтера в Сумах і вкрав 5 млн гривень.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn