Ключи API Google остаются активными до 23 минут после удаления — окно для атак

Исследователь из бельгийского стартапа Aikido Security Джо Леон выявил проблему безопасности в облачных сервисах Google. По его данным, ключи API могут оставаться активными до 23 минут после того, как пользователь их удалит из консоли управления. Это противоречит заявлениям провайдера о мгновенной деактивации.

В ходе эксперимента Леон создал ключ API в Google Cloud, а затем удалил его. Однако проверка показала, что ключ продолжал работать в течение 23 минут. За это время его можно было использовать для доступа к сервисам Google, если злоумышленник уже завладел им ранее.

Такое окно уязвимости невелико, но достаточно, чтобы нанести ущерб: например, получить доступ к данным или накрутить счёт за использование API. По словам исследователя, проблема актуальна для любых компаний, которые регулярно ротируют ключи или удаляют их после утечки.

На момент публикации Google не предоставила комментарий по поводу обнаруженной задержки. В документации cloud-провайдера указано, что после удаления ключ должен перестать работать немедленно, но на практике это не так.

Эксперты рекомендуют после удаления старых ключей создавать новые и следить за журналами использования, а также ограничить время жизни ключей автоматическим сроком действия. Это минимизирует риск при возможных задержках деактивации.

Инцидент напоминает, что даже крупные облачные провайдеры могут иметь скрытые проблемы синхронизации. Компаниям стоит учитывать такие задержки при проектировании систем безопасности и не полагаться исключительно на мгновенное удаление.