Google hoàn tiền cho nạn nhân lừa đảo API nhưng vẫn giữ nguyên chính sách tự động tăng ngân sách

Hai nhà phát triển sử dụng Google Cloud, người đã bị tính hóa đơn hàng nghìn USD sau các cuộc gọi API trái phép đến các mô hình Gemini, gần đây đã được hoàn tiền. Tuy nhiên, Google có kế hoạch tiếp tục tự động mở rộng giới hạn chi tiêu của người dùng, khiến họ và vô số khách hàng khác dễ bị tổn thương trước những hóa đơn không thể chi trả, dù do lừa đảo hay sự tăng đột biến của lưu lượng truy cập.

Nhà phát triển tại Úc Isuru Fonseka – người có hóa đơn sử dụng tăng vọt lên 17.000 USD chỉ trong vài phút sau khi Google tự động nâng cấp hạng mức chi tiêu 250 USD của anh khi hacker chiếm quyền kiểm soát tài khoản – cho biết ông rất vui khi chuyện này đã qua đi.

"Thật tuyệt vời. Cảm giác như họ cứ lảng tránh cho đến khi bài viết của bạn xuất hiện. Tôi chỉ hy vọng họ sửa chữa đúng đắn vấn đề này cho mọi người," Fonseka chia sẻ. "Tuyệt vời là bài viết đã giúp lấy lại được tiền hoàn lại, nhưng đáng buồn là mọi việc phải đi đến mức độ này họ mới xử lý khẩn cấp."

Mặc dù đã hoàn tiền, Google dường như đã mất một khách hàng. Fonseka cho biết ông đã đảm bảo API của mình không thể được sử dụng với các sản phẩm AI của Google và có thể sẽ thử các mô hình nền tảng độc lập nếu cần những tính năng đó.

"Tôi đã vô hiệu hóa Gemini trên mọi thứ – nếu tôi từng định sử dụng AI cho các dự án của mình, tôi tốt hơn nên sử dụng nó thông qua một dịch vụ khác như OpenRouter hoặc trực tiếp từ một nhà cung cấp LLM khác – chỉ là một cách để giữ Gemini ra khỏi tài khoản của tôi và giảm thiểu rủi ro ở mức thấp nhất," ông nói.

Fonseka cho biết ông đã bị bất ngờ bởi chính sách của Google cho phép công ty tự động nâng cấp hạng mức thanh toán của người dùng mà không cần sự cho phép hoặc cảnh báo thích đáng. Ông từng nghĩ rằng bằng cách đăng ký hạng mức người dùng với giới hạn chi tiêu 250 USD, hóa đơn của ông sẽ bị giới hạn ở mức đó. Chỉ sau khi kẻ tấn công khai thác khóa API của ông, ông mới biết rằng Google sẽ tự động nâng cấp giới hạn dựa trên lịch sử chi tiêu.

Mặc dù Google thừa nhận rằng việc nâng cấp hạng tự động đã cho phép những kẻ đánh cắp thông tin đăng nhập tích lũy hàng nghìn USD trong các hóa đơn như trường hợp của Fonseka, nhưng họ cho biết chưa xem xét lại chính sách này. Trong một tuyên bố gửi cho The Register, Google cho biết họ muốn ưu tiên quyền truy cập vào các dịch vụ Google Cloud mà không bị gián đoạn, ưu tiên ngăn chặn sự cố dịch vụ hơn là tôn trọng các ưu tiên ngân sách của người dùng.

"Với các cấp độ tăng trưởng tự động của chúng tôi, chúng tôi đã giúp các doanh nghiệp mở rộng quy mô khi mức sử dụng tăng lên, dựa trên uy tín thanh toán và sử dụng trong lịch sử của họ," một phát ngôn viên của Google cho biết. "Điều này ngăn chặn việc doanh nghiệp của họ bị gián đoạn dịch vụ nghiêm trọng khi vượt qua hạn ngạch hệ thống nhân tạo."

Sự nhầm lẫn giữa Hạng mức và Giới hạn chi tiêu

Có một số sự nhầm lẫn giữa các hạng mức sử dụng của Google và giới hạn chi tiêu mới được giới thiệu gần đây, và tài liệu của Google chưa giúp ích nhiều.

Google cho biết người dùng có thể đặt hạng mức sử dụng không vượt quá một mức chi tiêu nhất định. Ví dụ, mức chi tiêu tối đa được phép cho người dùng Hạng 1 như Fonseka là 250 USD. Tuy nhiên, nếu tài khoản cũ hơn 30 ngày và nếu, trong suốt quá trình làm việc với Google, họ đã chi ít nhất 1.000 USD, thì Google sẽ tự động cho phép tài khoản đó chi lên đến 100.000 USD. Vì vậy, những khách hàng tốt lại có nhiều điều phải lo sợ nhất từ việc lừa đảo hoặc sự tăng đột biến bất ngờ trong việc sử dụng.

Trong một số trường hợp được chia sẻ trên mạng xã hội, người dùng Google chỉ nhận ra điều này sau khi thẻ tín dụng của họ bị tính phí hàng nghìn USD.

Vào ngày 22 tháng 4, Google đã giới thiệu bản dùng thử giới hạn cứng (hard caps) về chi tiêu trong Google Cloud, nhưng những giới hạn này đang ở giai đoạn xem trước và được phê duyệt theo từng trường hợp cụ thể.

"Chúng tôi rất vui mừng thông báo rằng Spend Caps (Giới hạn chi tiêu) sắp có mặt trên Google Cloud. Được thiết kế để hoạt động với Google Cloud Budgets, FinOps và DevOps có thể đặt ngân sách thực thi các ranh giới chi phí tự động (caps) ở cấp dự án cho AIS, Agent Platform, Cloud Run, Cloud Run Functions và Maps," Google viết.

Google lưu ý rằng các giới hạn chi tiêu chỉ có thể được đặt cho mỗi dự án cho một dịch vụ đủ điều kiện duy nhất. Các dịch vụ đủ điều kiện cho bản xem trước này bao gồm Gemini API, Agent Platform (trước đây là VertexAI), Cloud Run, Cloud Run Functions, Maps.

Người dùng đăng ký giới hạn chi tiêu sẽ có đơn đăng ký của họ được xem xét trên "cơ bản một đến hai tuần" và khách hàng được thêm vào theo thứ tự gửi.

Rod Danan, CEO của Prentus, một công ty giúp người tìm việc chuẩn bị cho phỏng vấn và theo dõi việc làm cho các trường đại học, cho biết ông thấy hóa đơn của mình tăng vọt lên 10.000 USD chỉ trong 30 phút sử dụng bởi những kẻ tấn công đã khai thác khóa API công khai của ông. Google đã xóa các khoản phí vào thứ Năm.

"Họ đã liên hệ lại với tôi hôm nay đồng ý hoàn tiền," ông nói. "Chắc chắn là nhẹ nhõm. Bạn muốn tập trung vào kinh doanh. Bạn không muốn phải tập trung vào việc đi lấy lại tiền từ những khoản phí điên rồ nào đó."

Ông nói rằng áp lực của việc điều hành một startup đã đủ khó khăn mà không cần phải thêm vào việc đấu tranh với một trong những công ty lớn nhất thế giới áp đặt các khoản phí năm con số sai sót.

"Tôi rất vui vì chuyện đó đã qua rồi. Ước gì mọi chuyện dễ dàng hơn," ông nói. "Tôi đã học được, yeah, chắc chắn đừng bỏ cuộc. Hãy gây phiền toái bất cứ khi nào có gì sai và cứ tiếp tục thúc đẩy. Một lần nữa, hãy cố gắng làm cho nó công khai nhất có thể, to tiếng hơn và to hơn nữa cho đến khi những người bạn cần họ lắng nghe thực sự nghe thấy bạn."

Google cho biết bất kỳ việc sử dụng trái phép các khóa API nào sẽ được điều tra và công ty về mặt lịch sử đã đối xử với khách hàng một cách nhân văn khi có bằng chứng rõ ràng về gian lận hoặc lỗi.

"Chúng tôi coi các báo cáo về lạm dụng thông tin đăng nhập và an toàn tài chính của khách hàng cực kỳ nghiêm túc; và như bạn biết, chúng tôi đang điều tra các trường hợp cụ thể mà bạn đã chỉ ra và chúng tôi sẽ làm việc trực tiếp với bất kỳ người dùng nào bị ảnh hưởng để giải quyết các khoản phí phát sinh từ hoạt động gian lận," Google cho biết.