เตือนภัยไอที! พบกุญแจ API Google Cloud กว่า 3,000 ชุดหลุดว่อนเน็ต เสี่ยงโดนแฮกใช้ Gemini ฟรี แถมเจ้าของกระเป๋าฉีก

Published:

 

มีข่าวสำคัญที่เหล่านักพัฒนาซอฟต์แวร์และเจ้าของธุรกิจที่ใช้บริการ Google Cloud ต้องรีบเช็กด่วน เพราะล่าสุดมีการตรวจพบช่องโหว่ที่ทำให้กุญแจเข้าถึงระบบ หรือ API Key ตกอยู่ในอันตรายครับ

เกิดอะไรขึ้น? เมื่อ ID จ่ายเงิน กลายเป็นบัตรผ่านเข้าถึง AI

ทีมนักวิจัยจาก Truffle Security ได้ออกมารายงานว่า พวกเขาพบ API Key ของ Google Cloud เกือบ 3,000 ชุด (ซึ่งมักจะขึ้นต้นด้วยรหัส AIza) ถูกทิ้งไว้ในโค้ดฝั่ง Client-side เช่น บนหน้าเว็บไซต์เพื่อให้แสดงผล Google Maps

ความซวยมันอยู่ตรงนี้ครับ

ปกติแล้วกุญแจเหล่านี้มีไว้เพื่อระบุตัวตนในการเก็บเงิน (Billing) เท่านั้น แต่เมื่อเจ้าของโครงการไปกด "เปิดใช้งาน (Enable)" บริการ Gemini API ในโปรเจกต์เดิม กุญแจตัวเดิมที่เคยใช้โชว์แผนที่หน้าเว็บ จะได้รับสิทธิ์เข้าถึง Gemini โดยอัตโนมัติทันที โดยที่ Google ไม่ได้มีการแจ้งเตือนผู้ใช้เลยว่า "เฮ้ย กุญแจดอกเดิมของคุณตอนนี้ใช้สั่งงาน AI ได้แล้วนะ"

ผลกระทบที่น่ากลัว ข้อมูลรั่วและบิลช็อกโลก

หากแฮกเกอร์ได้กุญแจนี้ไป สิ่งที่พวกเขาทำได้คือ

  1. ขโมยข้อมูล: เข้าถึงไฟล์ที่อัปโหลดไว้ (Endpoints /files) หรือข้อมูลที่แคชไว้
  2. ขโมยโควต้า: เอาไปใช้รันโมเดล AI ขนาดใหญ่ (LLM) ในนามของคุณ
  3. บิลเรียกเก็บเงินมหาศาล: มีรายงานบน Reddit ว่าผู้ใช้รายหนึ่งโดนแฮก API Key ไปใช้ จนมียอดเรียกเก็บเงินพุ่งสูงถึง $82,314.44 (ประมาณ 2.8 ล้านบาท) ภายในเวลาเพียง 2 วัน ทั้งที่จ่ายปกติแค่เดือนละ 6,000 กว่าบาทเท่านั้น
นอกจากนี้ ทาง Quokka บริการด้านความปลอดภัยมือถือ ยังระบุว่าพบกุญแจ API ในลักษณะเดียวกันนี้หลุดอยู่ในแอป Android อีกกว่า 35,000 ชุด เลยทีเดียวครับ

Google ว่ายังไง และเราต้องแก้ตรงไหน?

ทางโฆษกของ Google ออกมายอมรับว่าทราบเรื่องแล้ว และกำลังร่วมมือกับนักวิจัยเพื่อแก้ไข โดยตอนนี้ได้เริ่มใช้มาตรการเชิงรุกในการตรวจจับและบล็อก API Key ที่หลุดสู่สาธารณะไม่ให้เข้าถึง Gemini ได้

ผมขอแนะนำวิธีป้องกันเบื้องต้น ดังนี้ครับ

  • เช็กด่วน: เข้าไปดูใน Google Cloud Console ว่าโปรเจกต์ไหนเปิดใช้งาน Gemini API ไว้บ้าง
  • จำกัดสิทธิ์ (API Restriction): อย่าปล่อยให้ API Key เป็นแบบ "Unrestricted" (ใช้ได้ทุกบริการ) ให้กำหนดไปเลยว่ากุญแจดอกนี้ใช้ได้แค่ Maps หรือบริการที่จำเป็นเท่านั้น
  • เปลี่ยนกุญแจ (Key Rotation): หากพบว่ากุญแจเคยหลุดไปอยู่ในโค้ดหน้าเว็บ หรือ GitHup ให้รีบยกเลิกและสร้างใหม่ทันที โดยเฉพาะกุญแจเก่าๆ ที่สร้างไว้นานแล้ว
เรื่องความปลอดภัยไซเบอร์ยุค AI มันเปลี่ยนไปเร็วมากครับ กุญแจที่เคยปลอดภัยในวันวาน อาจกลายเป็นช่องโหว่ราคาแพงในวันนี้ อย่าลืมตรวจสอบระบบกันสม่ำเสมอนะครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์