ОтветыОпубликовано16 источники
Удалённые ключи Google API продолжают работать до 23 минут
Исследователи обнаружили, что удалённые ключи Google Cloud API могут продолжать работать от 8 до 23 минут после удаления, со средним значением около 16 минут. Задержка возникает из‑за постепенного распространения обновлений об отзыве ключей по распределённой инфраструктуре Google.
1.2M0
Промпт ИИ
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
Удаление API‑ключа в Google Cloud не всегда означает его мгновенную деактивацию. Исследователи из компании Aikido Security обнаружили, что даже после удаления ключ может продолжать успешно аутентифицировать запросы ещё несколько минут. Это создаёт короткое, но реальное окно, в котором скомпрометированные ключи могут использоваться злоумышленниками.
Во время тестирования выяснилось, что удалённые ключи оставались рабочими от 8 до 23 минут, при этом медианное время составляло примерно 16 минут, несмотря на то, что в интерфейсе Google Cloud они уже отображались как удалённые.
Почему ключи продолжают работать
Проблема связана с архитектурой распределённой инфраструктуры Google. Когда ключ удаляется, информация об этом не распространяется мгновенно на все серверы, которые проверяют API‑аутентификацию.
Некоторые системы начинают отклонять запросы почти сразу, тогда как другие могут продолжать принимать тот же ключ, пока обновление об удалении постепенно распространяется по всей инфраструктуре.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Люди также спрашивают
Каков краткий ответ на вопрос «Удалённые ключи Google API продолжают работать до 23 минут»?
Исследователи обнаружили, что удалённые ключи Google Cloud API могут продолжать работать от 8 до 23 минут после удаления, со средним значением около 16 минут.
Какие ключевые моменты необходимо проверить в первую очередь?
Исследователи обнаружили, что удалённые ключи Google Cloud API могут продолжать работать от 8 до 23 минут после удаления, со средним значением около 16 минут. Задержка возникает из‑за постепенного распространения обновлений об отзыве ключей по распределённой инфраструктуре Google.
Что мне делать дальше на практике?
Пока проблема не решена, компаниям советуют считать удаление ключа лишь первым шагом защиты: следить за логами, ограничивать ключи и быстро ротировать учётные данные.
Источники
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments