然而戴维斯发明进击者并未窃取密钥,而是找到了他数月前宣布的一项云端托管办事公开链接。即便该公开链接从未对外分享、未被搜刮引擎收录,依然被黑客应用并提议跨越6万次请求。
戴维斯自称熟悉谷歌AI开辟平台安然规范,日常为每个项目零丁设备API密钥、拆分自力计费账户、开启双重身份验证和云审计日记。
而谷歌官方代理法度榜样会主动读取容器内以明文存放的API密钥情况变量,为每一次拜访请求完成授权签名。
是以在次日凌晨预算预警推送时,戴维斯的信用卡已被扣除6881美元(约4.7万元人平易近币);与谷歌客服沟通时代,又新增约10321美元(约7.05万元人平易近币)扣费。
然而,谷歌云本来拥有9项可阻拦此类变乱的安然防护功能,但都默认为封闭状况。
更糟糕的是,谷歌在未发出任何通知的情况下主动进级了戴维斯账户的等级。账户本来为2级权限,花费限额2000美元(约1.44万元人平易近币)。
3月份另有一名用户的API密钥遭滥用,两天内被刷出82314.44美元(约59.27万元人平易近币)账单,而该账户日常月花费仅180美元(约1296元人平易近币)。
当异常花费冲破1000美元(约7200元人平易近币)门槛后,体系主动提档,花费上限直接放宽至2万至10万美元(约14.4万至72万元人平易近币)。
好在谷歌最终免除全部欠费,银行也将已扣款原路退回。戴维斯已预约与谷歌治理层会见,专项沟通安然马脚问题。
类似事宜并不在少数,谷歌云社区论坛多名用户反应同类遭受:
一名日本用户正常应用云办事,莫名被开出44000美元(约31.68万元人平易近币)账单,手动关停API接口后费用仍涨至128000美元(约92.16万元人平易近币)。
收集安然企业Truffle Security Co.就曾预警:谷歌云采取同一格局的API密钥设计,本来仅作项目辨认编码。
一旦项目开通大年夜模型接口办事,老旧通用密钥就主动进级为付费授权凭证。密钥泄漏后,进击者可随便调用付费接口刷取云办事账单。
若后续谷歌仍不修改API权限规矩并补齐安然短板,此类天价扣费事宜将持续爆发。
发表评论 取消回复