AntwortenVeröffentlicht16 Quellen
Gelöschte Google‑API‑Keys bleiben bis zu 23 Minuten aktiv
Forscher entdeckten, dass gelöschte Google‑Cloud‑API‑Schlüssel noch 8 bis 23 Minuten lang Anfragen authentifizieren können (Median etwa 16 Minuten). Die Verzögerung entsteht, weil Widerrufe nicht sofort in Googles verteilter Infrastruktur wirksam werden, sondern schrittweise propagieren.
1.2M0
KI-Prompt
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
Das Löschen eines Google‑Cloud‑API‑Schlüssels beendet dessen Nutzung nicht zwingend sofort. Sicherheitsforscher von Aikido Security haben festgestellt, dass ein gelöschter Schlüssel noch mehrere Minuten lang API‑Anfragen authentifizieren kann – selbst wenn die Google‑Cloud‑Konsole bereits anzeigt, dass der Schlüssel entfernt wurde.
In ihren Tests beobachteten die Forscher, dass gelöschte Schlüssel weiterhin zwischen 8 und 23 Minuten funktionierten, mit einem Median von etwa 16 Minuten.
Verzögerter Widerruf in der Cloud
Der Grund liegt in der Architektur großer verteilter Systeme. Änderungen an Zugangsdaten – etwa das Löschen eines API‑Schlüssels – werden nicht gleichzeitig auf allen Servern wirksam.
Wenn ein Schlüssel gelöscht wird, muss diese Information zuerst durch Googles Infrastruktur propagiert werden. Während einige Backend‑Systeme den Schlüssel bereits ablehnen, akzeptieren andere ihn möglicherweise noch, bis die Aktualisierung dort angekommen ist.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Die Leute fragen auch
Wie lautet die kurze Antwort auf „Gelöschte Google‑API‑Keys bleiben bis zu 23 Minuten aktiv“?
Forscher entdeckten, dass gelöschte Google‑Cloud‑API‑Schlüssel noch 8 bis 23 Minuten lang Anfragen authentifizieren können (Median etwa 16 Minuten).
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Forscher entdeckten, dass gelöschte Google‑Cloud‑API‑Schlüssel noch 8 bis 23 Minuten lang Anfragen authentifizieren können (Median etwa 16 Minuten). Die Verzögerung entsteht, weil Widerrufe nicht sofort in Googles verteilter Infrastruktur wirksam werden, sondern schrittweise propagieren.
Was soll ich als nächstes in der Praxis tun?
Organisationen sollten gelöschte Schlüssel noch eine Zeit lang überwachen, Logs prüfen, API‑Zugriffe einschränken und kompromittierte Schlüssel sofort rotieren.
Quellen
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments