Câu trả lờiĐã xuất bản16 nguồn
API Key Google Cloud có thể vẫn dùng được tới 23 phút sau khi bị xóa
Nghiên cứu của Aikido Security cho thấy API key Google Cloud vẫn có thể xác thực yêu cầu trong khoảng 8–23 phút sau khi bị xóa, trung vị khoảng 16 phút. Nguyên nhân là do quá trình cập nhật trạng thái thu hồi khóa lan truyền dần trên hạ tầng phân tán của Google, không xảy ra đồng thời trên mọi máy chủ.
1.2M0
Prompt AI
openai.comCreate a landscape editorial hero image for this Studio Global article: What security vulnerability did Aikido Security discover in Google Cloud API key deletion, how long can deleted keys still authenticate requ. Article summary: Aikido Security reported that deleting a Google Cloud API key does not revoke it immediately: the key can still successfully authenticate requests for several minutes after deletion, creating a delayed-revocation window . Topic tags: general, documentation, general web, government, education. Reference image context from search candidates: Reference image 1: visual subject "CyberInsider covers the latest news in the cybersecurity and data privacy world. Deleted Google API keys remain valid for up to 23 minutes after revocation, potentially allowing at" source context "Google “Won’t Fix” API key staying active for 23 mins after deletion | CyberInsider" Reference
Việc xóa một API key trong Google Cloud không phải lúc nào cũng khiến khóa đó ngừng hoạt động ngay lập tức. Theo các nhà nghiên cứu tại Aikido Security, một khóa đã bị xóa vẫn có thể tiếp tục xác thực các yêu cầu API trong vài phút sau đó, tạo ra một khoảng thời gian ngắn nhưng đủ để bị khai thác nếu khóa đã bị rò rỉ.
Trong các thử nghiệm của họ, khóa API đã xóa vẫn hoạt động trong khoảng 8 đến 23 phút, với thời gian trung vị khoảng 16 phút, mặc dù giao diện Google Cloud Console hiển thị rằng khóa đã bị xóa.
Lỗ hổng đến từ độ trễ lan truyền
Nguyên nhân của hiện tượng này nằm ở cách Google vận hành hạ tầng đám mây phân tán quy mô lớn. Khi một API key bị xóa, trạng thái thu hồi không được áp dụng đồng thời trên toàn bộ hệ thống xác thực.
Một số máy chủ cập nhật nhanh và từ chối khóa gần như ngay lập tức, trong khi các máy chủ khác có thể vẫn chấp nhận khóa cho đến khi thông tin xóa được lan truyền đầy đủ trong hệ thống.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Người ta cũng hỏi
Câu trả lời ngắn gọn cho "API Key Google Cloud có thể vẫn dùng được tới 23 phút sau khi bị xóa" là gì?
Nghiên cứu của Aikido Security cho thấy API key Google Cloud vẫn có thể xác thực yêu cầu trong khoảng 8–23 phút sau khi bị xóa, trung vị khoảng 16 phút.
Những điểm chính cần xác nhận đầu tiên là gì?
Nghiên cứu của Aikido Security cho thấy API key Google Cloud vẫn có thể xác thực yêu cầu trong khoảng 8–23 phút sau khi bị xóa, trung vị khoảng 16 phút. Nguyên nhân là do quá trình cập nhật trạng thái thu hồi khóa lan truyền dần trên hạ tầng phân tán của Google, không xảy ra đồng thời trên mọi máy chủ.
Tôi nên làm gì tiếp theo trong thực tế?
Trong khoảng thời gian này, kẻ tấn công sở hữu khóa bị rò rỉ vẫn có thể truy cập các API như Gemini, BigQuery hoặc Google Maps và gây phát sinh chi phí.
Nguồn
- helpnetsecurity.comDeleted Google API keys keep working for up to 23 minutes, researchers warn - Help Net Security
- gigazine.netResearchers have confirmed that leaked Google API keys may remain usable for approximately 23 minutes after deletion.
- techradar.com'You have no way to revoke it faster or confirm when it stops working': Experts find Google API keys are still usable, even after you delete them
- cyberinsider.comGoogle “Won't Fix” API key staying active for 23 mins after deletion
- aikido.devGoogle API keys keep working after you delete them - Aikido Security
Loading comments...
Comments
0 comments