Der Google Cloud Service, der über ein Budget von mehreren Dutzend Yuan verfügte, wachte auf und schuldete Hunderttausende Dollar aufgrund eines einfachen Fehlers.

Der australische Berater für künstliche Intelligenz, Jesse Davis, erlebte kürzlich einen empörenden Vorfall:Er legte in seinem Google Cloud-Konto nur ein Monatsbudget von 7 US-Dollar (ca. 50 RMB) fest, doch als er aufwachte, erhielt er eine horrende Rechnung über 18.392 US-Dollar (ca. 132.400 RMB).Die gesamten Kosten fielen innerhalb weniger Stunden über Nacht an.

Davis behauptet, mit den Sicherheitsspezifikationen der KI-Entwicklungsplattform von Google vertraut zu sein. Er konfiguriert täglich API-Schlüssel für jedes Projekt, teilt unabhängige Rechnungskonten auf und aktiviert Zwei-Faktor-Authentifizierung und Cloud-Audit-Protokolle.

Davis stellte jedoch fest, dass der Angreifer nicht die Schlüssel gestohlen hatte, sondern einen öffentlichen Link zu einem Cloud-Hosting-Dienst gefunden hatte, den er Monate zuvor gepostet hatte.Obwohl der öffentliche Link nie extern geteilt und nicht von Suchmaschinen indiziert wurde, wurde er dennoch von Hackern genutzt und löste mehr als 60.000 Anfragen aus.

Das offizielle Google-Agent-Programm liest automatisch die im Klartext im Container gespeicherten API-Schlüsselumgebungsvariablen und vervollständigt die Autorisierungssignatur für jede Zugriffsanforderung.

Als am nächsten Morgen die Budgetwarnung ausgesprochen wurde, war Davis‘ Kreditkarte daher mit 6.881 US-Dollar (ungefähr 47.000 Yuan) belastet worden;Bei der Kommunikation mit dem Google-Kundendienst wurde eine zusätzliche Gebühr von ca. 10.321 US-Dollar (ca. 70.500 Yuan) erhoben.

Allerdings verfügte Google Cloud ursprünglich über neun Sicherheitsfunktionen, die solche Vorfälle verhindern konnten, diese waren jedoch alle standardmäßig deaktiviert.

Erschwerend kommt hinzu, dass Google das Konto von Davis automatisch und ohne Vorankündigung aktualisiert hat. Das Konto verfügte ursprünglich über Berechtigungen der Stufe 2 mit einem Verbrauchslimit von 2.000 US-Dollar (ca. 14.400 Yuan).

Wenn der ungewöhnliche Verbrauch den Schwellenwert von 1.000 US-Dollar (ca. 7.200 RMB) überschreitet, erhöht das System automatisch den Wert und die Verbrauchsgrenze wird direkt auf 20.000 bis 100.000 US-Dollar (ca. 144.000 bis 720.000 RMB) gelockert.

Glücklicherweise erließ Google schließlich alle Zahlungsrückstände und die Bank erstattete das abgezogene Geld. Davis hat ein Treffen mit dem Google-Management anberaumt, um Sicherheitslücken zu besprechen.

Es gibt viele ähnliche Vorfälle. Viele Nutzer im Google Cloud Community Forum berichteten von ähnlichen Erfahrungen:

Einem japanischen Benutzer, der normalerweise Cloud-Dienste nutzte, wurden aus unerklärlichen Gründen 44.000 US-Dollar (ca. 316.800 Yuan) in Rechnung gestellt. Nach dem manuellen Herunterfahren der API-Schnittstelle stieg die Rechnung immer noch auf 128.000 US-Dollar (ca. 921.600 Yuan).

Im März wurde der API-Schlüssel eines anderen Benutzers missbraucht und innerhalb von zwei Tagen wurde eine Rechnung in Höhe von 82.314,44 US-Dollar (ca. 592.700 RMB) abgebucht, während der tägliche monatliche Verbrauch des Kontos nur 180 US-Dollar (ca. 1.296 RMB) betrug.

Das Netzwerksicherheitsunternehmen Truffle Security Co. hat gewarnt, dass Google Cloud ein API-Schlüsseldesign mit einheitlichem Format übernimmt, das ursprünglich nur für die Codierung der Projektidentifikation verwendet wurde.

Sobald das Projekt den großen Modellschnittstellendienst öffnet, wird der alte allgemeine Schlüssel automatisch auf ein kostenpflichtiges Autorisierungszertifikat aktualisiert. Nachdem der Schlüssel durchgesickert ist, kann der Angreifer nach Belieben die Zahlungsschnittstelle aufrufen, um Cloud-Service-Rechnungen durchzuziehen.

Wenn Google die API-Berechtigungsregeln immer noch nicht ändert und die Sicherheitsmängel nicht behebt, wird es weiterhin zu solchen Vorfällen mit horrenden Gebührenabzügen kommen.