Em Alta NotíciasPessoasConflitosAcontecimentos internacionaisPolítica

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Chave de API exposta gera prejuízo de US$ 18 mil no Google Cloud

Chave de API exposta permite acesso não autorizado via Cloud Run, gerando fatura de US$ 18 mil após upgrade automático de tier e falhas de segurança desativadas

Telinha
Por Revisado por: Time de Jornalismo Portal Tela
Créditos: Unsplash
0:00
0:00
  • Um consultor australiano teve cobranças de US$ 18 mil (A$ 25.672,86) no Google Cloud após um invasor explorar um serviço do Cloud Run publicado pelo IA Studio.
  • Mesmo com orçamento de A$ 10 e camadas de segurança, as cobranças ultrapassaram o limite em mais de 2.500 vezes.
  • A origem foi um serviço inativo do Cloud Run com URL pública; o proxy do Google assinou as requisições usando uma chave de API armazenada em texto simples no contêiner.
  • Durante o ataque, o tier automático subiu o teto de gastos de forma promocional de US$ 2.000 para uma faixa entre US$ 20.000 e US$ 100.000.
  • Nove recursos de segurança estavam desativados por padrão; cobranças foram canceladas/estornadas, mas há reunião com gerentes do Google para discutir o caso.

Um consultor de IA da Austrália teve uma fatura do Google Cloud de A$ 25.672,86 (cerca de R$ 91.237) após um invasor explorar um serviço Cloud Run. O incidente ocorreu em pleno funcionamento de orçamento configurado para A$ 10 e múltiplas camadas de segurança ativas.

Jesse Davies, fundador da Agentic Labs, acordou com aviso de cobrança que ultrapassava 2.500 vezes o limite. Ele mantinha práticas de segurança sólidas, com chaves de API separadas por projeto, contas de cobrança divididas, autenticação em dois fatores e logs de auditoria habilitados.

Como ocorreu o ataque

O ataque teve início com um serviço do Cloud Run publicado meses antes via AI Studio. O invasor não precisou roubar credenciais nem modificar chaves de API. Foi suficiente acessar a URL pública do serviço, que ficou disponível sem indexação.

O proxy do Google Cloud assinou cada requisição feita pelo invasor usando a chave de API armazenada como variável de ambiente em texto simples dentro do contêiner. A arquitetura validou as chamadas como legítimas, sem acionar mecanismos de contenção.

Fatores que ampliaram o prejuízo

Durante a madrugada, a cobrança ultrapassou US$ 1.000, o que levou a promoção automática para o Tier 3, elevando o teto para entre US$ 20 mil e US$ 100 mil. O recurso visa manter serviços, mas, em ataque, aumenta o dano.

Ao amanhecer, o alerta de orçamento chegou com A$ 10.000 e mais A$ 15.000 já debitados. Davies passou a operar com saldo insuficiente e teve novas tentativas de cobrança, que foram estornadas pela instituição financeira.

Medidas e desdobramentos

Davies apontou que nove recursos de segurança do Google Cloud estavam desativados por padrão. Segundo ele, a ativação dessas funções poderia ter bloqueado ou mitigado o incidente.

O contato com o suporte levou dias. A cobrança foi cancelada e as transações aptas a serem processadas foram estornadas. Uma reunião com gerentes do Google foi marcada para esclarecer o caso e as falhas envolvidas.

Relacionados:

Acontecimentos internacionaisappsinteligência artificialnegóciosstartupstecnologia

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais

Governo da Zâmbia toma posse do corpo do ex-presidente em disputa de repatriação
Internacional

Governo da Zâmbia toma posse do corpo do ex-presidente em disputa de repatriação

Telinha
Telinha
Inocente, mas atrasos o prenderam por cinco anos sem julgamento
Internacional

Inocente, mas atrasos o prenderam por cinco anos sem julgamento

Telinha
Telinha
Veterano apresentador de rádio australiano James Valentine morre aos 64
Geral

Veterano apresentador de rádio australiano James Valentine morre aos 64

Telinha
Telinha