Видалені API-ключі в Google Cloud залишаються активними ще 23 хвилини

Дослідник безпеки Joe Leon із бельгійського стартапу Aikido Security вирішив перевірити, як швидко хмарні гіганти анулюють доступ після натискання заповітної кнопки. Під час тестів Google Cloud Platform (GCP) з'ясувалося, що видалені API-ключі продовжують працювати в середньому 16 хвилин, а в найгірших випадках — до 23 хвилин.

Для зловмисника, який уже встиг поцупити ключ, цього часу цілком достатньо для завершення своїх брудних справ. Якщо у проєкті активовано AI-помічник Gemini, хакер може спокійно викачати завантажені файли або вкрасти кешовані повідомлення, поки консоль GCP впевнено запевняє власника, що ключа більше немає.

Це дослідження надихнули тести безпеки в Amazon Web Services (AWS), де затримка відкликання права доступу становила якісь чотири секунди, і компанія Amazon оперативно це виправила. На цьому тлі розрив у часі у Google виглядає як справжня вічність.

Команда Aikido провела серію тестів у різних регіонах, надсилаючи по п’ять запитів на секунду після видалення ключів. Результати виявилися абсолютно рандомними: в одних регіонах через хвилину після видалення проходило 79% запитів, в інших — лише 5%, що вказує на дивну логіку маршрутизації та синхронізації серверів.

Кобли дослідники принесли цей баг розробникам із Маунтін-В'ю, ті просто знизали плечима, закрили тікет із позначкою «виправляти не будемо» та пішли пити смузі. При цьому інші типи сервісних ключів Google вміє анулювати за лічені секунди, що робить цю відмову ще більш іронічною.

Яка ж прекрасна хмарна філософія, де видалення — це лише рекомендація, а не наказ. Тепер службам безпеки доведеться додавати у свої інструкції півгодинну паузу на паніку та молитви, сподіваючись, що зловмисники втомляться чекати оновлення інфраструктури швидше, ніж доберуться до чутливих даних.

Джерело: Dark Reading