Des milliers de clés API publiques de Google Cloud exposées avec Gemini Access après l'activation de l'API

The Hacker News - TheHackerNews - 28/02
La recherche révèle que 2 863 clés API Google publiques peuvent accéder aux points de terminaison Gemini, permettant ainsi l’exposition des données et des abus de facturation massifs.

De nouvelles recherches ont révélé que les clés API de Google Cloud, généralement désignées comme identifiants de projet à des fins de facturation, pourraient être utilisées de manière abusive pour s'authentifier auprès de points de terminaison Gemini sensibles et accéder à des données privées.

Les résultats proviennent de Truffle Security, qui a découvert près de 3 000 clés API Google (identifiées par le préfixe « AIza ») intégrées dans le code côté client pour fournir des services liés à Google, tels que des cartes intégrées sur des sites Web.

"Avec une clé valide, un attaquant peut accéder aux fichiers téléchargés, aux données mises en cache et facturer l'utilisation LLM à votre compte", a déclaré le chercheur en sécurité Joe Leon, ajoutant que les clés "s'authentifient désormais également auprès de Gemini même si elles n'ont jamais été destinées à cela".

Le problème se produit lorsque les utilisa...
[Courte citation de 8% de l'article original]

Loading...