구글 API 키, 삭제 후에도 계속 활성화

Source: Slashdot

Aikido Security는 삭제된 Google API 키가 평균 약 16분, 최장 23분까지 인증을 계속할 수 있다는 사실을 발견했으며, 이는 Google Cloud UI에서 키가 삭제되면 더 이상 API 요청을 할 수 없다고 주장하는 것과는 다릅니다. Dark Reading이 보도했습니다: 벨기에 스타트업 Aikido Security의 연구원 Joe Leon은 최근 클라우드 거인의 API 키에 대한 폐기 창(키가 삭제된 시점부터 마지막 성공 인증까지의 시간)을 분석했습니다. 오늘 발표된 블로그 포스트에서 Leon은 Google Cloud Platform(GCP) 고객들이 키가 삭제되면 API 접근이 즉시 종료될 것으로 기대하지만, 실제로는 그렇지 않다고 말했습니다. 일련의 테스트에서 Leon은 평균 폐기 창이 약 16분이며, 최장 창은 23분에 달한다고 밝혔으며, 이는 API 키가 성공적으로 인증을 지속하는 “믿을 수 없을 정도로 긴 시간”이라고 설명했습니다.

이러한 창은 조직에 심각한 영향을 미칩니다. Leon은 “삭제된 키를 보유한 공격자는 서버가 아직 최신 상태가 될 때까지 요청을 계속 보낼 수 있습니다. 프로젝트에 Gemini가 활성화되어 있다면, 공격자는 업로드한 파일을 덤프하고 캐시된 대화를 탈취할 수 있습니다.”라고 말했습니다. “GCP 콘솔에는 해당 키가 표시되지 않으며, 키가 여전히 작동하고 있다는 사실도 알려주지 않습니다. 결국 Google의 인프라가 따라잡을 때