MinhSec
Writer
Một nhóm nghiên cứu bảo mật vừa phát hiện điều đáng lo ngại trên hệ thống xác thực của Google: một số khóa API vẫn có thể tiếp tục hoạt động trong nhiều phút, thậm chí hàng chục phút sau khi đã bị thu hồi hoặc xóa bỏ.
Theo các chuyên gia từ Aikido Security, tốc độ vô hiệu hóa khóa xác thực của Google không đồng đều giữa các dịch vụ. Một số khóa Tài khoản Dịch vụ Google bị thu hồi chỉ sau khoảng 5 giây, nhưng các khóa API mới của Gemini với tiền tố “AQ.” lại mất tới gần 1 phút để ngừng hoạt động hoàn toàn.
Đáng chú ý hơn, nhóm nghiên cứu cho biết trong một số trường hợp, quá trình lan truyền trạng thái thu hồi có thể kéo dài tới 30 phút. Điều này đồng nghĩa kẻ tấn công vẫn có thể lợi dụng khóa API đã bị lộ trong khoảng thời gian ngắn sau khi người dùng nghĩ rằng nó đã bị vô hiệu hóa.
Theo Google, độ trễ trong việc lan truyền trạng thái thu hồi giữa các hệ thống backend là điều bình thường trong hạ tầng cloud quy mô lớn.
Tuy vậy, giới nghiên cứu an ninh mạng cho rằng điều này vẫn tiềm ẩn rủi ro, đặc biệt với các doanh nghiệp sử dụng khóa API để kết nối dịch vụ AI, cloud hoặc hệ thống tự động hóa quan trọng.
Các chuyên gia khuyến cáo rằng việc xóa API key trên Google Cloud không nên được xem là hành động có hiệu lực ngay lập tức. Thay vào đó, quản trị viên nên coi quá trình thu hồi kéo dài khoảng 30 phút và cần giám sát bảng điều khiển GCP để phát hiện các hoạt động xác thực bất thường trong thời gian này.
Vụ việc tiếp tục cho thấy những thách thức lớn trong việc đảm bảo bảo mật cho các nền tảng cloud hiện đại, nơi ngay cả việc “xóa khóa truy cập” cũng có thể không diễn ra tức thời như nhiều người nghĩ.
Theo các chuyên gia từ Aikido Security, tốc độ vô hiệu hóa khóa xác thực của Google không đồng đều giữa các dịch vụ. Một số khóa Tài khoản Dịch vụ Google bị thu hồi chỉ sau khoảng 5 giây, nhưng các khóa API mới của Gemini với tiền tố “AQ.” lại mất tới gần 1 phút để ngừng hoạt động hoàn toàn.
Đáng chú ý hơn, nhóm nghiên cứu cho biết trong một số trường hợp, quá trình lan truyền trạng thái thu hồi có thể kéo dài tới 30 phút. Điều này đồng nghĩa kẻ tấn công vẫn có thể lợi dụng khóa API đã bị lộ trong khoảng thời gian ngắn sau khi người dùng nghĩ rằng nó đã bị vô hiệu hóa.
Google từ chối sửa vì cho rằng đây không phải lỗi
Aikido Security đã gửi báo cáo cho Google, tuy nhiên hãng công nghệ này đã đóng vụ việc với lý do đây là “đặc tính đã biết của hệ thống”, thay vì coi đó là lỗ hổng bảo mật cần sửa chữa.Theo Google, độ trễ trong việc lan truyền trạng thái thu hồi giữa các hệ thống backend là điều bình thường trong hạ tầng cloud quy mô lớn.
Tuy vậy, giới nghiên cứu an ninh mạng cho rằng điều này vẫn tiềm ẩn rủi ro, đặc biệt với các doanh nghiệp sử dụng khóa API để kết nối dịch vụ AI, cloud hoặc hệ thống tự động hóa quan trọng.
Các chuyên gia khuyến cáo rằng việc xóa API key trên Google Cloud không nên được xem là hành động có hiệu lực ngay lập tức. Thay vào đó, quản trị viên nên coi quá trình thu hồi kéo dài khoảng 30 phút và cần giám sát bảng điều khiển GCP để phát hiện các hoạt động xác thực bất thường trong thời gian này.
Vụ việc tiếp tục cho thấy những thách thức lớn trong việc đảm bảo bảo mật cho các nền tảng cloud hiện đại, nơi ngay cả việc “xóa khóa truy cập” cũng có thể không diễn ra tức thời như nhiều người nghĩ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
