Vulnerabilidade Crítica: Chaves API do Google Cloud Permanecem Ativas por Quase Meia Hora Após Exclusão

A segurança na nuvem foi posta em xeque por uma descoberta alarmante: chaves de API do Google Cloud, mesmo após serem excluídas, podem permanecer ativas e funcionais por até 23 minutos. Esta “janela de revogação” representa um risco significativo para usuários e empresas, abrindo portas para abusos, vazamentos de dados e cobranças inesperadas.

A falha, identificada por pesquisadores da empresa de segurança Aikido Security, afeta uma gama de serviços essenciais da plataforma Google Cloud, incluindo Gemini, BigQuery e Maps. A persistência dessas credenciais, mesmo após a tentativa de bloqueio, expõe uma lacuna na infraestrutura que pode ser explorada por agentes mal-intencionados.

Infraestrutura do Google Demora para Reconhecer Exclusão

O cerne do problema reside em um comportamento pouco conhecido da infraestrutura global do Google. Ao contrário do que se esperaria, a exclusão de uma chave de API não resulta em uma revogação instantânea e uniforme em todos os servidores da empresa. Em vez disso, a informação sobre a invalidação da chave se propaga gradualmente pela vasta rede global do Google.

Na prática, isso significa que, enquanto alguns sistemas reconhecem a exclusão em questão de segundos, outros continuam a aceitar a chave antiga por vários minutos. Este intervalo crítico é o que os pesquisadores da Aikido Security denominaram “janela de revogação”, período durante o qual um invasor ainda pode autenticar requisições normalmente. Nos testes conduzidos, a maior janela de revogação observada atingiu impressionantes 23 minutos.

Testes Revelam Comportamento Imprevisível

Para quantificar a extensão do problema, a Aikido Security realizou dez testes ao longo de dois dias. O método consistia em criar uma chave de API, excluí-la e, em seguida, continuar enviando requisições autenticadas várias vezes por segundo. Os resultados revelaram um comportamento imprevisível: algumas requisições falhavam imediatamente, enquanto outras eram aceitas por muitos minutos após a exclusão, evidenciando que diferentes servidores do Google atualizam suas informações em velocidades distintas.

Vazamento de Credenciais Pode Gerar Prejuízos Elevados

O risco se intensifica drasticamente em cenários de vazamento de credenciais. Se uma chave de API for comprometida e cair nas mãos erradas, um criminoso pode continuar a utilizá-la mesmo depois que a vítima acredita ter resolvido o problema com a exclusão. Um atacante pode automatizar milhares de requisições, buscando servidores que ainda não processaram a atualização de revogação.

A situação ganhou destaque após relatos de abuso envolvendo APIs do Gemini. Casos documentados descrevem desenvolvedores que receberam cobranças de cinco dígitos após o comprometimento de suas credenciais. Criminosos exploraram as chaves roubadas para sobrecarregar modelos de inteligência artificial do Google, incluindo ferramentas de geração de vídeo e imagem, resultando em custos que aumentavam em milhares de dólares em poucos minutos, mesmo enquanto as vítimas tentavam interromper os gastos.

Mensagem do Painel Cria Falsa Sensação de Segurança

Os pesquisadores também apontaram uma falha na interface do Google Cloud. Ao excluir uma chave, o painel exibe a mensagem “não poderá mais ser usada”, o que, segundo a Aikido, cria uma falsa sensação de segurança. A credencial, na realidade, permanece válida em partes da infraestrutura, contradizendo a informação apresentada ao usuário.

Curiosamente, os testes revelaram diferenças regionais na velocidade de revogação. Servidores localizados mais distantes dos Estados Unidos detectavam a exclusão mais rapidamente do que sistemas próximos da costa leste norte-americana. A empresa de segurança sugere que fatores como cache, roteamento e replicação de dados podem explicar esse comportamento.

Google Não Pretende Alterar Funcionamento Atual

Embora a falha afete principalmente chaves antigas de API do Google, outros formatos de credenciais demonstram revogação mais rápida. Chaves modernas do Gemini, por exemplo, identificadas pelo prefixo “AQ”, param de funcionar em cerca de um minuto, enquanto credenciais de contas de serviço são invalidadas em aproximadamente cinco segundos. Para os pesquisadores, isso indica que o problema é tecnicamente solucionável. No entanto, o Google informou que não pretende alterar o funcionamento atual, classificando o caso como “funcionando conforme esperado”.

Diante da postura do Google, a Aikido Security recomenda que as empresas tratem a exclusão de chaves de API como um processo que pode levar até 30 minutos para ser totalmente efetivo. Durante esse período crítico, é fundamental que as organizações monitorem o tráfego suspeito, limitem o acesso a APIs críticas e acompanhem ativamente possíveis tentativas de abuso da credencial comprometida, mitigando assim os riscos potenciais.