JawabanDipublikasikan16 sumber
Peneliti: API Key Google Cloud Masih Aktif Sampai 23 Menit Setelah Dihapus
Peneliti keamanan menemukan bahwa kunci API Google Cloud masih dapat mengautentikasi permintaan selama 8–23 menit setelah dihapus, dengan median sekitar 16 menit. Keterlambatan terjadi karena perubahan penghapusan kunci harus menyebar (propagate) ke berbagai server dalam infrastruktur terdistribusi Google.
1.2M0
AI Perintah
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
Menghapus kunci API di Google Cloud ternyata tidak selalu menghentikan akses secara instan. Peneliti keamanan dari Aikido Security menemukan bahwa kunci yang sudah dihapus masih dapat digunakan untuk mengautentikasi permintaan API selama beberapa menit setelah penghapusan. Temuan ini membuka jendela waktu singkat tetapi signifikan bagi penyalahgunaan kredensial yang bocor.
Dalam pengujian mereka, kunci API yang sudah dihapus tetap berfungsi selama 8 hingga 23 menit, dengan median sekitar 16 menit, meskipun konsol Google Cloud sudah menampilkan status bahwa kunci tersebut telah dihapus.
Mengapa kunci masih bekerja setelah dihapus
Masalah ini berkaitan dengan cara perubahan kredensial dipropagasikan dalam sistem terdistribusi milik Google. Ketika sebuah kunci API dihapus, informasi pencabutan tersebut tidak langsung berlaku di seluruh server autentikasi.
Beberapa server memperbarui status dengan cepat dan menolak kunci tersebut, tetapi server lain mungkin masih menerima kunci sampai pembaruan penghapusan menyebar sepenuhnya ke seluruh infrastruktur.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Orang-orang juga bertanya
Apa jawaban singkat untuk "Peneliti: API Key Google Cloud Masih Aktif Sampai 23 Menit Setelah Dihapus"?
Peneliti keamanan menemukan bahwa kunci API Google Cloud masih dapat mengautentikasi permintaan selama 8–23 menit setelah dihapus, dengan median sekitar 16 menit.
Apa poin penting yang harus divalidasi terlebih dahulu?
Peneliti keamanan menemukan bahwa kunci API Google Cloud masih dapat mengautentikasi permintaan selama 8–23 menit setelah dihapus, dengan median sekitar 16 menit. Keterlambatan terjadi karena perubahan penghapusan kunci harus menyebar (propagate) ke berbagai server dalam infrastruktur terdistribusi Google.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Selama jeda tersebut, kunci yang bocor masih dapat digunakan untuk mengakses API seperti Gemini, BigQuery, atau Google Maps.
Sumber
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments