Siber Güvenlik

Kritik: Binlerce Google Cloud API Anahtarı Gemini ile İfşa!

teknomers
teknomers

Giriş

Son araştırmalar, Google Cloud API anahtarlarının kötüye kullanılma potansiyeli taşıdığını ve bu anahtarların hassas Gemini uç noktalarına kimlik doğrulaması yaparak özel verilere erişim sağladığını ortaya koydu. Bu durum, bulut hizmetlerinin güvenliğini ciddi şekilde tehdit etmekte ve kullanıcılar için büyük maddi kayıplara yol açabilmektedir.

Contents

Saldırı Nasıl Çalışıyor?

Truffle Security, “AIza” ön eki ile tanımlanan 3,000’e yakın Google API anahtarının, web sitelerinde gömülü olarak bulunduğunu ve kullanıcılara Google ile ilgili hizmetler sunmak için kullanıldığını keşfetti. Geçerli bir anahtar ile bir saldırgan, aşağıdaki verilere erişim sağlayabilir:

  • Yüklenmiş dosyalar
  • Önbelleğe alınmış veriler
  • LLM kullanımı için kullanıcı hesabına faturalandırma

Araştırmalar, kullanıcıların Google Cloud projelerinde (örneğin, Generative Language API) Gemini API’yi etkinleştirmesi durumunda mevcut API anahtarlarının, Gemini uç noktalara erişim sağladığını göstermiştir.

Etkilenen Sistemler

Truffle Security tarafından yapılan araştırmada, Google Cloud’da oluşturulan yeni bir API anahtarının varsayılan olarak “Sınırsız” ayarlandığı ve projenin etkinleştirilmiş her API’si için geçerli olduğu tespit edilmiştir. Bu, internet üzerinde kamuya açık durumda olan  2863  aktif anahtarın varlığına yol açmış, bu anahtarların arasında Google ile ilişkilendirilen bir web sitesi de bulunmaktadır.

Çözüm ve Korunma

Google, bu konuda proaktif tedbirler alarak, sızdırılan API anahtarlarının Gemini API’sine erişim sağlamasının engellenmesi için çalışmalar yapmaktadır. Ancak kullanıcıların kendi güvenliklerini sağlamak adına atması gereken adımlar şunlardır:

  • Google Cloud projelerinizdeki API’leri ve hizmetleri kontrol edin.
  • Yapay zeka ile ilişkili API’lerin etkin olup olmadığını kontrol edin.
  • Eğer etkin ve kamuya açık durumda iseler, anahtarların döndürülmesi gerektiğine dikkat edin.
  • Özellikle en eski anahtarlarınızı önceliklendirin.

Sonuç

Kullanıcıların, API anahtarlarının güvenliğini artırmak ve olası sızmaları önlemek için derhal güncellemeler yapması, gerekirse belirli portları kapatması ve aşırı yetkilendirilmiş anahtarları yeniden gözden geçirmesi önemlidir. Güvenlik testleri ve açık tarama süreçlerinin sürekli olarak güncellenmesi gerektiği unutulmamalıdır. Geliştiriciler, her zaman API davranışlarını profilendirerek anormallikleri tespit etmeli ve kötü niyetli faaliyetleri engellemek için aktif olmalıdır.

İranlı Bilgisayar Korsanları, Güçsüz Arka Kapı İle İsrail’i Hedef Alan Sofistike Saldırılar Başlattı
Chelsea ile Manchester United Arasındaki Premier League Maçı Tarih Değişikliğine Gitti
Araştırma, Galaxy Watches’in son derece hassas biyometrik okumalar yoluyla obezite ile mücadeleye yardımcı olabileceğini gösteriyor
ABD Başkanı Joe Biden, Çin ile Yarı İletken Üretimini ve Rekabeti Artırmak İçin Dönüm Noktası CHIPS Yasasını İmzaladı
Google’lar "Piksel Özellik Düşüşü"-Güncelleme daha fazla AI özelliği ekler
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale EveryPlate: Uygun Fiyatlı Vejetaryen Yemek Kitleriyle Tanışın!
Sonraki Makale Blizzard’dan Heyecan Verici Overwatch ve Nier Automata İş Birliği!

Sanal Medya

Son Eklenenler

Google’dan rakiplerine giden AI araştırmacıları artıyor
Yapay Zeka
Mühendislik Meslekleri Yok Olacak Diye Bekleniyordu, Ama Veriler Farklı Söylüyor
Genel
Prime Günü’nde Yüzde 36’ya Varan İndirimle En İyi Bilgisayar Hoparlörleri
Donanım
Riot, League of Legends’taki tartışmalı güncellemeyi erteledi
Oyun
Microsoft’un Geçen Yıl Kuantum Taleplerini Abarttığı İddia Ediliyor
Liste
Kritik: Kötü Niyetli Edge Eklentisi, Zararlı Yazılımlara Geçit Sağlıyor
Siber Güvenlik