Інцидент, що трапився з консультантом зі штучного інтелекту Джессі Девісом, який мешкає в Австралії, на початку квітня, коли він отримав несподіваний рахунок за Google Cloud на суму близько 18 392 долари США лише за одну ніч, незважаючи на встановлений бюджет у 10 австралійських доларів (приблизно $7), підкреслює критичну важливість належних заходів безпеки та прозорості в галузі хмарних технологій. Хоча Девіс стверджує, що дотримувався загальноприйнятих практик, таких як використання окремих ключів API, платіжних облікових записів, двофакторної автентифікації та журналів аудиту, одна “слабка ланка” призвела до катастрофічних наслідків. Це виявилася функція безпеки Google Cloud, яка, за його словами, була вимкнена за замовчуванням, що й дозволило зловмиснику отримати доступ до його сервісу Cloud Run через публічну URL-адресу. Замість того, щоб припинити несанкціонований доступ, проксі-сервер Google автоматично підписував кожен запит, використовуючи ключ API, який зберігався у відкритому вигляді в контейнері.
Непередбачені наслідки автоматичного масштабування
Зловмисник скористався вразливістю
Джессі Девіс зазначив, що його ключ API не був викрадений, а зловмисник знайшов опублікований ним сервіс Cloud Run, до якого він зміг отримати доступ за допомогою публічної URL-адреси. Саме тут вступив у дію власний проксі-сервер Google, який підписував кожен запит від імені Девіса, використовуючи ключ API, що зберігався як змінна середовища у вигляді простого тексту в контейнері. Навіть попри те, що посилання було публічним, воно не було поширене чи проіндексоване, що робить цей випадок ще більш несподіваним. Коли Девіс отримав сповіщення про перевищення бюджету, з його кредитної картки вже було списано 10 000 австралійських доларів, а згодом, під час розмови зі службою підтримки Google, надійшло сповіщення ще про 15 000 доларів.
Автоматичне підвищення рівня облікового запису
Крім того, Google автоматично підвищив рівень облікового запису Девіса без його відома. Початково встановлений ліміт у 2000 доларів США на рівні 2 був автоматично збільшений до рівня, що дозволяє витрати від 20 000 до 100 000 доларів США, коли обліковий запис перетнув поріг у 1000 доларів. Ця функція, хоч і розроблена для полегшення масштабування послуг, має потенційно руйнівний ефект для користувачів у непередбачених ситуаціях.
Розв’язання проблеми та ширший контекст
Звернення до служби підтримки та повернення коштів
Процес зв’язку зі службою підтримки Google виявився тривалим, знадобилося кілька днів, щоб дістатися до живої людини. На щастя, оплата була скасована, а транзакції, що відбулися, були повернуті банком. Однак, питання ще не повністю вирішене, і Девіс запланував зустріч з представниками Google для подальшого обговорення.
Подібні випадки та зростаюча проблема
Історія Девіса, опублікована на Reddit, виявила, що він не єдиний, хто зіткнувся з подібними проблемами. Коментатори повідомили про схожі випадки, зокрема користувач з Японії, який отримав рахунок на 44 000 доларів, що зріс до 128 000 доларів, навіть після призупинення роботи API. Це співпадає з повідомленнями про те, що користувачі Gemini втратили 82 000 доларів за два дні у березні, що свідчить про зростаючу проблему з безпекою та прозорістю в сфері хмарних сервісів.
“Слабкі ланки в системах безпеки, навіть за наявності загальноприйнятих запобіжних заходів, можуть призвести до непередбачуваних і значних фінансових втрат для користувачів хмарних сервісів.”
