RespostasPublicado16 fontes
Chaves de API do Google Cloud ainda podem funcionar por até 23 minutos após serem deletadas
Pesquisadores descobriram que chaves de API do Google Cloud podem continuar autenticando requisições por 8 a 23 minutos após a exclusão, com média de cerca de 16 minutos. O atraso ocorre porque a revogação da chave leva tempo para se propagar pela infraestrutura distribuída do Google.
1.2M0
Prompt de IA
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
Excluir uma chave de API no Google Cloud não significa que ela para de funcionar imediatamente. Pesquisadores da empresa de segurança Aikido Security descobriram que uma chave deletada pode continuar autenticando requisições por vários minutos após a remoção, criando uma janela de risco caso a credencial tenha sido exposta.
Nos testes realizados pela equipe, chaves excluídas permaneceram utilizáveis por entre 8 e 23 minutos, com mediana de aproximadamente 16 minutos, mesmo quando o console do Google Cloud já indicava que a chave havia sido removida.
A falha causada pelo atraso na revogação
O problema está ligado à forma como mudanças de credenciais se propagam na infraestrutura distribuída do Google. Quando uma chave é deletada, a revogação não é aplicada ao mesmo tempo em todos os servidores responsáveis pela autenticação das APIs.
Alguns sistemas passam a rejeitar a chave quase imediatamente, enquanto outros continuam aceitando requisições até que a atualização de revogação chegue a eles.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
As pessoas também perguntam
Qual é a resposta curta para "Chaves de API do Google Cloud ainda podem funcionar por até 23 minutos após serem deletadas"?
Pesquisadores descobriram que chaves de API do Google Cloud podem continuar autenticando requisições por 8 a 23 minutos após a exclusão, com média de cerca de 16 minutos.
Quais são os pontos-chave para validar primeiro?
Pesquisadores descobriram que chaves de API do Google Cloud podem continuar autenticando requisições por 8 a 23 minutos após a exclusão, com média de cerca de 16 minutos. O atraso ocorre porque a revogação da chave leva tempo para se propagar pela infraestrutura distribuída do Google.
O que devo fazer a seguir na prática?
Especialistas recomendam tratar a exclusão de chaves como uma medida com atraso e reforçar monitoramento, restrições e rotação de credenciais.
Fontes
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments