Yeni bir araştırma, genellikle yalnızca faturalandırma ve proje tanımlama amacıyla kullanılan Google Cloud API anahtarlarının, hassas Gemini uç noktalarına kimlik doğrulamak için kötüye kullanılabildiğini ortaya koydu.

Bulgular, güvenlik firması Truffle Security tarafından paylaşıldı. Şirket, istemci tarafı JavaScript kodlarına gömülü ve “AIza” önekiyle başlayan yaklaşık 3.000 Google API anahtarı tespit etti.

Sorun Nasıl Ortaya Çıktı?

Araştırmaya göre risk, bir Google Cloud projesinde Gemini API (Generative Language API) etkinleştirildiğinde başlıyor.

Bu durumda; Projedeki mevcut API anahtarları, web sitesi JavaScript kodunda açıkça görülebilen anahtarlar dâhil herhangi bir uyarı olmaksızın Gemini uç noktalarına erişim yetkisi kazanabiliyor.

Güvenlik araştırmacısı Joe Leon, geçerli bir anahtarla saldırganların:

• Yüklenen dosyalara erişebileceğini
• Önbelleğe alınmış içerikleri görüntüleyebileceğini
• LLM kullanım ücretlerini mağdurun hesabına yansıtabileceğini

belirtti. Leon’a göre bu anahtarlar başlangıçta bu amaçla tasarlanmamıştı.

“Unrestricted” Varsayılan Ayarı Riski Büyütüyor

Truffle Security ayrıca Google Cloud’da oluşturulan yeni API anahtarlarının varsayılan olarak “Unrestricted” (Sınırsız) ayarında olduğunu tespit etti.

“Sonuç olarak, zararsız faturalandırma belirteçleri olarak dağıtılmış binlerce API anahtarı artık herkese açık internet üzerinde canlı Gemini kimlik bilgileri haline geldi,” –Leon

Bu da şu anlama geliyor:

• Anahtar, projede etkinleştirilen tüm API’ler için geçerli
• Gemini dahil olmak üzere yeni servisler otomatik olarak erişilebilir hale geliyor

Şirket, kamuya açık internette erişilebilir durumda olan 2.863 aktif anahtar bulduğunu açıkladı. Bunlar arasında Google ile ilişkili bir web sitesi de bulunuyor.

Kota Hırsızlığı ve Hassas Veri Riski

Saldırganlar, interneti tarayarak ele geçirdikleri anahtarları şu amaçlarla kullanabiliyor:

• /files ve /cachedContents uç noktalarına erişim
• Gemini API üzerinden yoğun istek göndererek kota tüketimi
• Yüksek faturalandırma oluşturma

Bu risk yalnızca maliyetle sınırlı değil. Uzmanlara göre, doğrudan müşteri verilerine erişim mümkün olmasa bile çıkarım erişimi ve bulut servisleriyle entegrasyon, risk profilini ciddi şekilde değiştiriyor.

Google’dan Açıklama

Google sözcüsü, The Hacker News’e yaptığı açıklamada:

• Raporun farkında olduklarını
• Araştırmacılarla birlikte çalışarak sorunu ele aldıklarını
• Sızdırılmış API anahtarlarının Gemini erişimini tespit edip engellemek için proaktif önlemler uyguladıklarını

belirtti.

Davranışın başlangıçta tasarım gereği olduğu değerlendirilmiş olsa da, Google daha sonra müdahalede bulundu.

Benzer Bulgular: 35.000 API Anahtarı Android Uygulamalarda

Konu, güvenlik şirketi Quokka tarafından yayımlanan ayrı bir raporun ardından gündeme geldi.

Şirket, 250.000 Android uygulamasını tarayarak 35.000’den fazla benzersiz Google API anahtarının uygulamalara gömülü olduğunu tespit etti.

Uzmanlara göre risk yalnızca maliyet suistimali değil. Yapay zekâ destekli uç noktaların:

• Üretilen içerikle
• Prompt girdileriyle
• Bağlı bulut servisleriyle

nasıl etkileşime girdiği, ele geçirilmiş bir anahtarın etki alanını genişletebilir.

Uzmanlar Ne Öneriyor?

Google Cloud projesi bulunan kullanıcıların:

• Etkin API’leri kontrol etmesi
• Gemini veya diğer AI servislerinin açık olup olmadığını doğrulaması
• İstemci tarafında açık şekilde bulunan anahtarları döndürmesi (rotation)

tavsiye ediliyor.

“En eski anahtarlarınızdan başlayın. “Bunlar, API anahtarlarının paylaşılmasının güvenli olduğuna dair eski rehberlik altında kamuya açık şekilde dağıtılmış olma ihtimali en yüksek olan ve daha sonra ekibinizden biri API’yi etkinleştirdiğinde geriye dönük olarak Gemini ayrıcalıkları kazanan anahtarlardır.” –Truffle Security

“Bu durum, riskin dinamik olduğunun ve API’lerin sonradan aşırı yetkilendirilebileceğinin iyi bir örneğidir. Güvenlik testleri, zafiyet taramaları ve diğer değerlendirmeler sürekli olmalıdır.” –Wallarm’da güvenlik stratejisti Tim Erlin