Desenvolvedores que tentam conter um vazamento de dados ou evitar cobranças indevidas no Google Cloud enfrentam um obstáculo inesperado: a revogação de chaves de API não é imediata. Segundo pesquisadores da empresa de segurança Aikido, chaves de API excluídas podem permanecer operacionais por até 23 minutos em parte da infraestrutura da gigante de tecnologia. Essa latência cria uma janela crítica onde atacantes, mesmo após a tentativa de bloqueio pelo proprietário da conta, conseguem continuar explorando credenciais comprometidas.
O risco é amplificado pela arquitetura de faturamento do Google, que ajusta automaticamente os limites de gastos dos usuários. Com a integração de modelos como o Gemini, um atacante pode não apenas exfiltrar arquivos sensíveis e conversas em cache, mas também elevar os custos operacionais a patamares de cinco dígitos em poucos minutos. A inconsistência na propagação da exclusão, que varia entre servidores, torna o ambiente imprevisível para quem tenta estancar danos em tempo real.
A mecânica da latência de revogação
A equipe da Aikido realizou dez testes ao longo de dois dias, enviando requisições autenticadas continuamente após a exclusão de chaves. O padrão observado indicou que, enquanto alguns servidores rejeitam a credencial quase instantaneamente, outros mantêm o acesso por quase meia hora. A complexidade do roteamento de tráfego do Google, que não segue necessariamente uma lógica de proximidade geográfica entre a máquina do usuário e o servidor, parece ser o fator determinante para essa variação na propagação do comando de exclusão.
Vale notar que o problema não se limita ao Gemini. Testes realizados com APIs do BigQuery e do Google Maps apresentaram comportamentos similares. Embora o Google tenha implementado mecanismos de revogação mais ágeis para outros tipos de credenciais, como contas de serviço, a empresa classificou a demora na propagação das chaves de API atuais como um comportamento esperado, declarando a questão como não passível de correção técnica no momento.
Impacto financeiro e operacional
Para o ecossistema de desenvolvedores, a falha representa um risco financeiro direto. Relatos apontam casos em que contas tiveram seus limites de gastos elevados automaticamente de 250 para 100 mil dólares devido ao consumo intensivo de recursos em curtos intervalos. Em situações de comprometimento, a tentativa de revogação imediata torna-se um exercício frustrante, pois o atacante, ciente da janela de oportunidade, pode automatizar requisições de alta frequência para maximizar o uso da chave antes que ela seja efetivamente invalidada em toda a rede.
O dano, portanto, transcende a fatura de computação. A capacidade de exfiltrar dados e contextos armazenados em caches de modelos de IA coloca em xeque a segurança da propriedade intelectual e de informações confidenciais de empresas que dependem da infraestrutura do Google para processar dados sensíveis.
Desafios de governança e segurança
A postura do Google de considerar a latência como parte integrante do funcionamento do sistema levanta questões sobre a responsabilidade das plataformas na proteção de seus usuários. Se a revogação de credenciais de serviço ocorre em cerca de cinco segundos, a disparidade técnica em relação às chaves de API sugere uma priorização de arquitetura que pode não estar alinhada com as necessidades de segurança dos desenvolvedores.
O monitoramento constante e a adoção de práticas de segurança em camadas permanecem como as únicas defesas eficazes diante da impossibilidade de garantir o bloqueio imediato após a detecção de uma brecha. A incerteza sobre qual servidor processará a próxima requisição torna a mitigação de ataques um desafio de probabilidade, e não de controle absoluto.
O cenário exige que empresas repensem sua dependência de chaves de API estáticas e busquem alternativas de autenticação mais granulares. Com o Google mantendo sua posição sobre a viabilidade técnica da correção, a responsabilidade pela contenção de danos recai integralmente sobre quem opera as chaves, forçando um nível de vigilância que, na prática, é difícil de sustentar sob pressão.
Com reportagem de Brazil Valley
Source · The Register
