Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Capita che una scoperta tecnica sembri quasi banale… e poi improvvisamente diventi un bug enorme.
È più o meno quello che è emerso da una recente analisi sul mondo delle API Google Cloud. Non parliamo di teoria: i numeri fanno un certo effetto.
Molti sviluppatori usano chiavi API nei progetti web senza pensarci troppo. Servono per servizi comuni, tipo mappe integrate nei siti.
Eppure qualcosa, nel tempo, è cambiato. Silenziosamente.
La ricerca di Truffle Security ha individuato circa 3.000 chiavi API Google con prefisso AIza presenti nel codice lato client. In origine erano pensate come identificatori per la fatturazione dei progetti. Fin qui nulla di strano, direbbe qualcuno.
Il problema nasce quando in un progetto Google Cloud viene attivata l’API Gemini, per esempio la Generative Language API. A quel punto anche chiavi già esistenti, magari visibili dentro JavaScript pubblico di un sito, iniziano a funzionare per autenticarsi verso endpoint Gemini.
Senza avvisi evidenti.
E quindi succede una cosa un po’ inquietante. Chi fa scraping di siti web può raccogliere queste chiavi e usarle per interrogare endpoint come files o cachedContents, accedere a dati caricati o in cache e perfino generare costi con richieste LLM sul conto della vittima.
Un dettaglio che ha fatto alzare più di un sopracciglio riguarda le nuove chiavi API create su Google Cloud. Di default risultano impostate come illimitate. Significa che valgono per tutte le API abilitate nel progetto, inclusa Gemini.
Secondo i dati pubblicati, sono state trovate 2.863 chiavi attive accessibili direttamente su Internet, inclusa una associata a un sito collegato a Google. Numeri non enormi rispetto al web intero, ma comunque sufficienti per capire la portata del rischio.
Nel frattempo anche Quokka ha segnalato qualcosa di simile: oltre 35.000 chiavi API Google uniche individuate analizzando 250.000 app Android.
Ora riusciamo a “quantizzare” meglio il rischio vero?
Non è chiaro se questa situazione sia stata sfruttata in modo diffuso. Però un caso raccontato su Reddit, come riporta The Hacker News, parla di oltre 82.314,44 dollari di addebiti in un paio di giorni, quando normalmente la spesa mensile era attorno ai 180 dollari. Diciamo che non è proprio un dettaglio.
Google ha dichiarato di essere a conoscenza della segnalazione e di aver lavorato con i ricercatori per sistemare la situazione. Sono state introdotte misure per individuare e bloccare chiavi trapelate che tentano di accedere all’API Gemini.
Per la community di Red Hot Cyber, il caso delle chiavi Gemini impone una ricalibrazione strategica degli ambienti cloud. Spostare infrastrutture e servizi sul cloud non è un’operazione a rischio zero, ma una scelta che espande inevitabilmente la superficie di attacco, rendendo i confini della sicurezza fluidi e spesso imprevedibili. Che si tratti di una nostra errata configurazione o di un bug non noto del service provider, come il mutamento silenzioso delle logiche di accesso ai dati, la realtà rimane immutata: la responsabilità ultima della protezione e delle conseguenze economiche rimangono sempre e solo in capo alla propria organizzazione.
Dobbiamo quindi abbandonare l’idea che il cloud sia un contenitore universale e passare a un approccio selettivo. È essenziale analizzare con rigore a chi serva davvero l’applicazione e quali processi debbano necessariamente transitare per la rete pubblica, evitando di migrare l’intero ecosistema aziendale per pura inerzia tecnologica. La strategia vincente consiste nel mettere sul cloud solo quello che deve stare sul cloud e non tutto: limitare ciò che è esposto all’esterno è l’unico modo reale per ridurre una superficie di rischio che, per sua natura, non smetterà mai di evolversi.
