Khóa API của Google vẫn có thể sử dụng trong 23 phút sau khi bị xóa

Khi phát hiện khóa API Google bị rò rỉ, phản xạ đầu tiên của lập trình viên thường là xóa ngay lập tức khóa đó để ngăn chặn thiệt hại. Tuy nhiên, các nhà nghiên cứu bảo mật mới đây đã phát hiện một lỗ hổng nghiêm trọng: khóa API của Google vẫn có thể hoạt động bình thường trong tối đa 23 phút sau khi bị xóa.

Cửa sổ thời gian nguy hiểm

Theo báo cáo từ công ty bảo mật Aikido, việc xóa một khóa API không đồng nghĩa với việc nó bị vô hiệu hóa ngay lập tức trên toàn bộ hạ tầng của Google. Joseph Leon, nhà nghiên cứu tại Aikido, cho biết có một "khoảng cửa sổ" đáng kể mà kẻ tấn công có thể tiếp tục sử dụng thông tin đăng nhập đã bị xóa.

"Chúng tôi đã xác định được một khoảng thời gian lớn nơi kẻ tấn công có quyền truy cập vào khóa API Google bị rò rỉ có thể tiếp tục lạm dụng thông tin đăng nhập đó, sau khi người dùng tin rằng khóa đã bị thu hồi," Leon chia sẻ.

Trong thử nghiệm của mình, Aikido nhận thấy rằng một số máy chủ sẽ từ chối khóa ngay lập tức, trong khi các máy chủ khác vẫn chấp nhận nó trong tới 23 phút. Điều này tạo ra cơ hội cho tin tặc gửi liên tục các yêu cầu cho đến khi chúng tìm được một máy chủ chưa cập nhật trạng thái xóa.

Tác động tài chính và rủi ro dữ liệu

Lỗ hổng này đặc biệt nguy hiểm khi kết hợp với chính sách thanh toán tự động của Google. The Register đã ghi nhận nhiều trường hợp lập trình viên bất ngờ nhận hóa đơn lên tới năm con số (hàng chục nghìn USD) sau khi thông tin đăng nhập của họ bị đánh cắp.

Vấn đề trở nên phức tạp hơn sau khi Google thay đổi chính sách thanh toán vào tháng 4. Hệ thống hiện tự động nâng cấp hạn mức chi tiêu lên cấp cao hơn mà không cần sự đồng thuận của người dùng. Ví dụ, hạn mức có thể tự động tăng từ 250 USD lên 100.000 USD nếu việc sử dụng tăng đột biến, tạo điều kiện cho tội phạm mạng khai thác tối đa.

Không chỉ gây thiệt hại về tài chính, kẻ tấn công còn có thể sử dụng khoảng thời gian này để trích xuất dữ liệu nhạy cảm. Nếu dự án có bật Gemini, chúng có thể tải xuống các tệp đã được upload và lấy cắp nội dung hội thoại đã lưu trong bộ nhớ đệm.

Phản hồi từ Google

Aikido đã thực hiện thử nghiệm trên nhiều khu vực của Google Cloud và nhận thấy sự không nhất quán trong việc thu hồi khóa. Tuy nhiên, đáng chú ý là Google có cơ chế thu hồi nhanh hơn cho các loại thông tin đăng nhập khác, chẳng hạn như Service Account API (chỉ mất khoảng 5 giây).

Khi được Aikido liên hệ về vấn đề này, Google được cho là đã đóng báo cáo với lý do "Không khắc phục được (Không khả thi)" và nhận định rằng độ trễ do việc lan truyền việc xóa khóa là "hoạt động như dự kiến". Điều này đặt ra câu hỏi lớn về sự an toàn của các nhà phát triển khi sử dụng nền tảng đám mây của Google.