A vulnerabilidade nas chaves de API do Google, especificamente aquelas utilizadas em serviços como Google Maps e Firebase, está chamando a atenção após a introdução do Gemini. Durante mais de dez anos, a empresa afirmou que essas chaves não eram segredos, mas essa afirmação se tornou obsoleta com a nova API do Gemini, que aceita as mesmas chaves para acessar dados privados. Uma pesquisa realizada em milhões de sites revelou quase 3.000 chaves de API do Google, originalmente designadas para serviços públicos, que agora também autenticam acessos ao Gemini, expondo dados sensíveis.

O problema central reside na forma como o Google Cloud trata as chaves de API, utilizando um único formato (AIza...) para finalidades distintas: identificação pública e autenticação sensível. Durante anos, a empresa orientou os desenvolvedores a embutir essas chaves em códigos de cliente, alegando que eram seguras. A documentação do Google Maps, por exemplo, instrui os desenvolvedores a inserir suas chaves diretamente no HTML, desconsiderando seu potencial para comprometer dados.

Com a ativação da API do Gemini em um projeto do Google Cloud, chaves de API existentes, que estavam públicas, ganharam silenciosamente acesso a endpoints sensíveis do Gemini, sem qualquer aviso. Isso levanta questões sérias sobre a segurança e a privacidade dos dados, criando um cenário de "Expansão de Privilégios Retroativa" e "Configurações Inseguras Padrão".

A vulnerabilidade permite que um atacante, ao acessar um site e copiar a chave API do Google Maps, consiga realizar chamadas à API do Gemini, acessando dados privados e acumulando custos altos em contas de usuários inocentes. A pesquisa revelou 2.863 chaves de API ativas na internet, que não pertencem apenas a projetos pequenos, mas também a grandes instituições financeiras e empresas de segurança.

Após a descoberta, a equipe de segurança que relatou a vulnerabilidade se deparou com resistência inicial do Google, que inicialmente classificou o problema como comportamento intencional. No entanto, após a apresentação de evidências concretas, a situação foi reclassificada como um bug, levando a empresa a desenvolver um plano de remediação.

O Google está implementando melhorias em seu sistema, como a criação de chaves com escopos específicos e a implementação de notificações proativas para alertar sobre chaves vazadas. Contudo, a expectativa é que a empresa faça uma auditoria retroativa das chaves afetadas e informe os proprietários dos projetos sobre os riscos de segurança.

Para os usuários do Google Cloud, é crucial verificar se suas chaves de API estão expostas. A primeira etapa é auditar cada projeto em busca da API de Linguagem Generativa e revisar as chaves para garantir que não estejam configuradas como "não restritas". Se chaves que acessam o Gemini forem identificadas como públicas, é necessário rotacioná-las imediatamente para evitar possíveis explorações.

O padrão de vulnerabilidade observado não se limita ao Google, já que muitas organizações estão integrando capacidades de IA em suas plataformas, ampliando a superfície de ataque de maneiras inesperadas. A situação exige uma atenção redobrada em práticas de segurança para proteger dados sensíveis.