Тысячи公开ских ключей Google Cloud API подверглись утечке после активации API
Была обнаружена уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальным данным через открытые ключи Google Cloud API. Это может затронуть пользователей, которые используют эти ключи для аутентификации в чувствительных endpoint Gemini. Компания Truffle Security обнаружила почти 3 000 открытых ключей Google API.
Подробности
Исследователи обнаружили, что почти 3 000 ключей Google API (идентифицируемых по префиксу "AIza") встроены в клиентский код для предоставления услуг Google. Эти ключи могут быть использованы для аутентификации в Gemini и доступа к конфиденциальным данным. Это подчеркивает важность правильной защиты ключей API и безопасного кодирования.Что делать
Чтобы избежать подобных угроз, пользователям рекомендуется принять меры для защиты своих ключей API. Это включает в себя использование безопасных методов хранения ключей, таких как безопасные менеджеры секретов, и регулярную ротацию ключей. Кроме того, пользователи должны следовать принципам наименьших привилегий и обеспечивать, чтобы ключи API имели доступ только к необходимым ресурсам. Итог: Пользователям Google Cloud API следует принять немедленные меры для защиты своих ключей и данных от потенциальных угроз. Для этого необходимо следовать рекомендациям по безопасности и регулярно проверять свои ключи API на наличие уязвимостей.Источник: The Hacker News