Borttagna Google API-nycklar förblir aktiva i upp till 23 minuter
En ny studie från Aikido Security avslöjar en allvarlig sårbarhet: borttagna Google API-nycklar kan fortsätta autentisera framgångsrikt upp till 23 minuter. Detta underlättar datalekage och obehörig åtkomst till GCP-tjänster. Forskarna uppmanar till försiktig övervakning.
En studie från cybersäkerhetsföretaget Aikido Security visar att borttagna Google API-nycklar kan fortsätta fungera i upp till 23 minuter efter att de raderats. Det skapar ett farligt tidsfönster för angripare som redan har fått tag på en nyckel.
Vad händer när du raderar en nyckel?
I Google Cloud Platform (GCP) visas nyckeln som raderad direkt i konsolen. Men i praktiken tar det i genomsnitt 16 minuter innan nyckeln slutar fungera, och i värsta fall nästan 23 minuter. Under den tiden kan en angripare som har nyckeln fortsätta autentisera sig mot Googles tjänster.
Forskarna genomförde 10 kontrollerade tester under två dagar och mätte hur länge nycklar förblev aktiva efter radering. Resultaten var tydliga: fördröjningen är konsekvent och förutsägbar.
Vad kan en angripare göra?
Under det aktiva tidsfönstret har angriparen full åtkomst till alla API:er som är aktiverade i projektet. Det innebär bland annat möjlighet att:
- Hämta ut filer och konversationer från Gemini
- Komma åt data i BigQuery
- Anropa Maps API och andra aktiverade tjänster
Ytterligare en komplikation är att GCP:s loggning inte visar vilken specifik nyckel som används efter radering. Autentiseringsförsök hamnar i en generisk kategori kallad apikey:UNKNOWN, vilket försvårar incidentutredning.
Varför händer det här?
Problemet beror på hur Googles globala infrastruktur fungerar. När en nyckel raderas sprids informationen gradvis till servrar runt om i världen, ett mönster som kallas "eventual consistency". Det innebär att servrar som ännu inte fått uppdateringen fortsätter acceptera nyckeln.
Skillnaden mot andra nyckeltyper är stor. Google Service Account-nycklar återkallas på ungefär 5 sekunder, och nyare Gemini-nycklar tar cirka 1 minut. Att vanliga API-nycklar tar upp till 23 minuter är alltså inte en teknisk nödvändighet.
Googles svar: "Won't fix"
Aikido Security rapporterade fynden till Google, men företaget valde att stänga rapporten utan åtgärd. Google beskriver fördröjningen som en känd egenskap hos systemet, inte ett säkerhetsproblem.
Vad bör du göra?
Om du misstänker att en API-nyckel har läckt räcker det inte att bara radera den. Aikido Security rekommenderar att du övervakar aktivitet i minst 30 minuter efter radering och kontrollerar loggar för misstänkta anrop. Rotera nycklar regelbundet och begränsa behörigheterna till det absoluta minimum.
För företag som använder GCP är det viktigt att ha en tydlig rutin för nyckelhantering och incidentrespons, särskilt nu när det är känt att raderingen inte är omedelbar.