الإجاباتمنشور16 المصادر
باحثون يحذرون: حذف مفاتيح Google Cloud API لا يوقفها فورًا
أظهرت أبحاث أمنية أن مفاتيح Google Cloud API قد تظل قادرة على المصادقة لمدة تتراوح بين 8 و23 دقيقة بعد حذفها، بمتوسط يقارب 16 دقيقة. سبب التأخير يعود إلى أن إلغاء المفاتيح ينتشر تدريجيًا عبر البنية التحتية الموزعة لـGoogle وليس بشكل فوري.
1.2M0
موجّه الذكاء الاصطناعي
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
قد يعتقد المطورون أن حذف مفتاح Google Cloud API يوقفه فورًا. لكن بحثًا أجرته شركة Aikido Security أظهر أن الأمر ليس بهذه السرعة دائمًا. فقد تستمر المفاتيح المحذوفة في قبول طلبات المصادقة لبضع دقائق بعد حذفها، ما يخلق نافذة قصيرة لكنها قد تكون خطيرة إذا كان المفتاح قد تسرّب.
في الاختبارات التي أجراها الباحثون، ظلت المفاتيح المحذوفة تعمل لمدة تراوحت بين 8 و23 دقيقة، مع متوسط يقارب 16 دقيقة قبل أن تتوقف نهائيًا عن العمل، رغم أن واجهة Google Cloud تظهر أنها حُذفت بالفعل.
لماذا لا يتوقف المفتاح فورًا؟
السبب يرتبط بطبيعة البنية التحتية الموزعة لدى Google. فعندما يتم حذف مفتاح API، لا يصل قرار الإلغاء إلى جميع خوادم المصادقة في اللحظة نفسها. بدلاً من ذلك ينتشر التحديث تدريجيًا عبر الشبكة.
هذا يعني أن بعض الأنظمة قد ترفض المفتاح خلال ثوانٍ، بينما قد تستمر أنظمة أخرى في قبوله إلى أن يصلها تحديث الإلغاء.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
يسأل الناس أيضا
ما هي الإجابة المختصرة على "باحثون يحذرون: حذف مفاتيح Google Cloud API لا يوقفها فورًا"؟
أظهرت أبحاث أمنية أن مفاتيح Google Cloud API قد تظل قادرة على المصادقة لمدة تتراوح بين 8 و23 دقيقة بعد حذفها، بمتوسط يقارب 16 دقيقة.
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
أظهرت أبحاث أمنية أن مفاتيح Google Cloud API قد تظل قادرة على المصادقة لمدة تتراوح بين 8 و23 دقيقة بعد حذفها، بمتوسط يقارب 16 دقيقة. سبب التأخير يعود إلى أن إلغاء المفاتيح ينتشر تدريجيًا عبر البنية التحتية الموزعة لـGoogle وليس بشكل فوري.
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
يمكن للمهاجمين استغلال هذه النافذة المؤقتة لمواصلة استخدام المفتاح المسرب للوصول إلى APIs أو توليد استهلاك سحابي وتكاليف إضافية.
المصادر
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments