Назад к блогу

Уязвимость в Google API Keys: как Gemini AI раскрывает приватные данные без предупреждения

3 мин. чтения3 просмотровИИ-генерацияуправление уязвимостямиуправление поверхностью атакиоценка рисковeasm

Риски неправильно ограниченных Google API keys: возможный доступ к Gemini/Vertex AI эндпоинтам

Недавно команда исследователей из Wiz опубликовала 18 апреля 2024 года в BleepingComputer отчет о потенциальных рисках, связанных с использованием ключей API Google Cloud, которые при неправильной конфигурации могут привести к несанкционированному доступу к некоторым внутренним AI-эндпоинтам платформы Gemini, интегрированной с Vertex AI. В отчёте описывается, что ключи API с префиксом AIza..., если у них отсутствуют или неправильно настроены ограничения по HTTP referrers, IP-адресам и API restrictions, могут быть использованы злоумышленниками для доступа к ограниченным функциям и данным.

Что произошло?

Исследователи выявили, что проблема связана не с уязвимостью в продуктах Google, а с неправильной конфигурацией ключей API, которые часто встраиваются в клиентские приложения. Такие ключи обычно должны иметь ограничения на использование, например, по HTTP referrers, IP-адресам или конкретным API, но в некоторых случаях эти ограничения отсутствовали или были настроены некорректно. В результате злоумышленники могли использовать эти ключи для доступа к внутренним AI-эндпоинтам Gemini и Vertex AI, что потенциально позволяло:

  • Получить доступ к некоторым функциям и данным AI-моделей в рамках проекта Google Cloud
  • Просмотреть информацию о расходах на использование AI-сервисов при отсутствии должных ограничений

При этом в отчёте не подтверждается доступ к приватным файлам, кэшированным данным или изменение политик безопасности Google. Доступ к приватным данным в облаке возможен только при наличии соответствующих разрешений и неправильной настройке IAM (Identity and Access Management).

Google оперативно отреагировала на сообщение исследователей, рекомендовав клиентам усилить контроль доступа и правильно настраивать ограничения для ключей API.

Почему это важно для организаций, управляющих внешней поверхностью атаки?

Для компаний, использующих Google Cloud и интегрирующих AI-сервисы, данная ситуация подчёркивает важность правильной настройки и управления ключами API. Внешняя поверхность атаки может расширяться за счёт ключей, которые имеют избыточные права или не ограничены должным образом.

Основные риски включают:

  • Незаметный доступ к конфиденциальным данным: При неправильной конфигурации злоумышленники могут получить доступ к функциям и данным AI-проектов.
  • Финансовые потери: Использование AI-сервисов с украденными или скомпрометированными ключами может привести к непредвиденным расходам.
  • Репутационные риски: Утечка данных или финансовые инциденты могут негативно сказаться на доверии клиентов и партнёров.
  • Сложности управления ключами: Большое количество ключей с разными уровнями доступа усложняет контроль и аудит.

Таким образом, ситуация подчёркивает необходимость строгого контроля над внешними точками доступа и своевременного обновления механизмов аутентификации и авторизации.

Практические рекомендации для команд информационной безопасности

Чтобы минимизировать риски, связанные с данной проблемой, специалисты по безопасности и разработчики должны предпринять следующие шаги:

  • Провести аудит всех используемых ключей API: Определить, какие ключи имеют избыточные права, и выявить устаревшие или неиспользуемые.
  • Избегать встраивания ключей в клиентский код: Ключи API часто встраиваются в клиентские приложения, что повышает риск их утечки; рекомендуется использовать серверные прокси или другие безопасные методы хранения и передачи ключей.
  • Перейти на более современные методы аутентификации: Рассмотреть использование OAuth 2.0 или других протоколов с более строгой проверкой прав доступа.
  • Настроить мониторинг и оповещения по аномальной активности: Внедрить системы, которые смогут выявлять подозрительные запросы к AI-эндпоинтам.
  • Регулярно обновлять и ревизовать политики безопасности: Включать в них требования по управлению ключами и контролю доступа к облачным сервисам.
  • Обучать разработчиков и сотрудников: Повышать осведомленность о рисках использования публичных ключей и лучших практиках безопасности.

В условиях растущей сложности внешней поверхности атаки и увеличения числа интеграций с облачными AI-сервисами своевременное выявление и устранение подобных рисков становится критически важным для защиты корпоративных данных и ресурсов.

Поделиться:TelegramVK

Похожие статьи

Уязвимость в Chrome: как расширения могли получить доступ к локальным файлам через панель Gemini

3 мар. 20263 мин. чтения2
управление уязвимостямиуправление поверхностью атакиоценка рисковeasm

Кража API-ключа Google Cloud привела к неожиданным расходам в $82 000 за двое суток

5 мар. 20263 мин. чтения2
управление поверхностью атакиeasmоценка рисковбезопасность идентичностиуправление уязвимостями
Новости

Рост числа открытых конечных точек в инфраструктуре LLM увеличивает риски безопасности

23 фев. 20263 мин. чтения4
управление поверхностью атакиeasmуправление уязвимостямиоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.