/
网络上惊现数千个有效API密钥泄露
斯坦福大学等机构研究人员对1000万个网站进行安全分析,发现近2000个API凭证散布在1万个网页中。这些高度敏感的API凭证可直接访问云平台、支付服务等关键基础设施。研究发现一家全球重要金融机构和无人机固件开发商等组织的凭证被暴露。AWS凭证占验证暴露总数的16%以上,出现在4693个网站上。84%的凭证存在于JavaScript资源中。研究人员通报后,暴露凭证数量在两周内减少了一半,但历史分析显示这些凭证平均暴露12个月。
谷歌API密钥安全漏洞暴露Gemini AI私人数据
谷歌云API密钥原本仅用作计费标识符,但研究人员发现这些密钥现在可被恶意利用访问私人Gemini AI项目数据。Truffle Security公司扫描发现2863个活跃的谷歌API密钥存在安全隐患,涉及大型金融机构、安全公司等。问题源于谷歌未告知开发者API密钥功能的静默变更,原本公开的计费密钥现在也成为Gemini API的身份验证密钥,攻击者可通过网站源码提取密钥并访问敏感数据或产生巨额费用。
开发者因被盗Gemini API密钥遭遇8.2万美元天价账单
一名开发者在Reddit上表示,其公司的Google Gemini API密钥在48小时内被盗用,产生超过8.2万美元的未授权费用。该墨西哥初创公司平时月消费仅180美元,此次费用激增460倍。Truffle Security研究发现,数百万网站中有2863个Google API密钥存在泄露风险。Google表示已实施主动措施检测和阻止泄露的API密钥,但拒绝透露是否会要求开发者承担费用。
数千个Google云API密钥泄露,可被滥用访问Gemini服务
研究发现近3000个谷歌API密钥嵌入在客户端代码中,当用户在谷歌云项目中启用Gemini API时,现有API密钥会意外获得Gemini端点访问权限。攻击者可利用这些密钥访问上传文件、缓存数据,并产生大量费用。谷歌已实施主动措施检测和阻止泄露的API密钥访问Gemini API,建议用户检查并轮换公开的API密钥。
京公网安备 11010802021500号
