डिलीट करने के बाद भी कुछ मिनट तक काम कर सकती है Google API Key

Aikido ने परीक्षण के दौरान नई API keys बनाकर उन्हें तुरंत डिलीट किया और लगातार authentication requests भेजीं। दस परीक्षणों में तब तक सफल authentication मिलता रहा जब तक revocation पूरी तरह सभी सिस्टम में propagate नहीं हो गया। इसी से 8–23 मिनट की विंडो सामने आई।

इसका मतलब है कि इंटरफेस में key हट जाने के बाद भी वह थोड़ी देर तक सिस्टम के कुछ हिस्सों में सक्रिय रह सकती है।

इससे क्या जोखिम पैदा होता है

अगर किसी संगठन की API key लीक हो जाए, तो आमतौर पर पहला कदम उसे तुरंत डिलीट करना होता है। लेकिन इस देरी के कारण हमलावर थोड़े समय तक उस key का उपयोग जारी रख सकते हैं।

उस अवधि में हमलावर संभावित रूप से:

• प्रोजेक्ट से जुड़े सक्रिय APIs तक पहुंच सकते हैं
• अतिरिक्त API requests भेज सकते हैं
• अप्रत्याशित क्लाउड उपयोग या बिलिंग लागत पैदा कर सकते हैं

शोधकर्ताओं ने अपने परीक्षण Gemini API वाली keys के साथ किए थे, लेकिन यही व्यवहार BigQuery और Google Maps जैसे अन्य Google Cloud APIs में भी देखा गया। इसका मतलब यह समस्या किसी एक सेवा की नहीं बल्कि API key credential सिस्टम से जुड़ी है।

Google की प्रारंभिक प्रतिक्रिया

रिपोर्ट के अनुसार, शुरुआत में Google ने इसे एक गंभीर सुरक्षा खामी के बजाय distributed सिस्टम में होने वाली सामान्य propagation delay बताया और रिपोर्ट को "won’t fix" के रूप में बंद कर दिया था।

बाद में आगे समीक्षा के बाद इस रिपोर्ट को दोबारा खोला गया और आंतरिक रूप से इसे P0 bug (सबसे उच्च प्राथमिकता वाली समस्या) के रूप में वर्गीकृत किया गया ताकि इसकी गहन जांच की जा सके।

डेवलपर्स और सुरक्षा टीमों के लिए सावधानियां

जब तक revocation पूरी तरह तुरंत लागू होने की गारंटी नहीं है, तब तक संगठनों को मानकर चलना चाहिए कि API key हटाने से एक्सेस तुरंत बंद नहीं होगा।

डिलीशन को अंतिम सुरक्षा कदम न मानें
किसी key को हटाने के बाद लगभग 30 मिनट तक संभावित जोखिम विंडो मानकर चलें।

लॉग और बिलिंग पर नज़र रखें
अगर key हटाने के तुरंत बाद असामान्य API कॉल या उपयोग दिखाई दे, तो यह उसी propagation विंडो में हो रहे दुरुपयोग का संकेत हो सकता है।

API keys पर कड़े प्रतिबंध लगाएं
Google सलाह देता है कि keys को सीमित करें — जैसे कि केवल तय IP addresses, referrers या विशिष्ट APIs के लिए — ताकि लीक होने पर उनका दुरुपयोग सीमित रहे।

Credentials को नियमित रूप से रोटेट करें
सिर्फ डिलीट करने पर निर्भर रहने के बजाय नई keys बनाकर सेवाओं को जल्दी से अपडेट करें और पुरानी keys हटाएं।

क्लाउड सुरक्षा के लिए बड़ा सबक

यह घटना बड़े distributed क्लाउड सिस्टम की एक वास्तविकता को दिखाती है: कॉन्फ़िगरेशन बदलाव — जैसे credentials को रद्द करना — अक्सर तुरंत नहीं बल्कि धीरे‑धीरे लागू होते हैं।

इसलिए सुरक्षा दृष्टि से एक महत्वपूर्ण सिद्धांत याद रखना चाहिए: "डिलीट" का मतलब हमेशा "तुरंत निष्क्रिय" नहीं होता।