Dịch vụ đám mây Google với ngân sách hàng chục nhân dân tệ thức tỉnh và nợ hàng trăm nghìn đô la chỉ vì một sai lầm của người mới làm quen

Jesse Davis, một nhà tư vấn trí tuệ nhân tạo người Úc, gần đây đã gặp phải một sự cố nghiêm trọng: Anh ấy chỉ đặt ngân sách hàng tháng là 7 đô la Mỹ (khoảng 50 RMB) cho tài khoản Google Cloud của mình nhưng khi thức dậy thì nhận được hóa đơn cao ngất trời là 18.392 đô la Mỹ (khoảng 132.400 RMB). Tất cả chi phí được tạo ra một cách điên cuồng trong vòng vài giờ vào ban đêm.

Davis tuyên bố đã quen thuộc với các thông số bảo mật của nền tảng phát triển AI của Google. Anh định cấu hình khóa API cho từng dự án hàng ngày, chia tách các tài khoản thanh toán độc lập và bật xác thực hai yếu tố cũng như nhật ký kiểm tra trên đám mây.

Tuy nhiên, Davis phát hiện ra rằng kẻ tấn công không đánh cắp chìa khóa mà tìm thấy một liên kết công khai tới dịch vụ lưu trữ đám mây mà anh ta đã đăng cách đây nhiều tháng. Mặc dù liên kết công khai chưa bao giờ được chia sẻ ra bên ngoài hoặc được các công cụ tìm kiếm lập chỉ mục nhưng nó vẫn bị tin tặc sử dụng và thực hiện hơn 60.000 yêu cầu.

Chương trình đại lý chính thức của Google sẽ tự động đọc các biến môi trường khóa API được lưu trữ dưới dạng văn bản rõ ràng trong vùng chứa và hoàn thành chữ ký ủy quyền cho mỗi yêu cầu truy cập.

Do đó, khi cảnh báo ngân sách được đưa ra vào sáng sớm hôm sau, thẻ tín dụng của Davis đã bị ghi nợ 6.881 USD (khoảng 47.000 nhân dân tệ); Trong quá trình liên lạc với dịch vụ khách hàng của Google, chúng tôi đã khấu trừ thêm 10.321 USD (khoảng 70.500 nhân dân tệ).

Tuy nhiên, Google Cloud ban đầu có 9 chức năng bảo vệ an ninh có thể ngăn chặn những tai nạn như vậy nhưng tất cả đều bị tắt theo mặc định.

Tệ hơn nữa, Google đã tự động nâng cấp tài khoản của Davis mà không có bất kỳ thông báo nào. Tài khoản ban đầu có quyền Cấp 2, với giới hạn tiêu dùng là 2.000 USD (khoảng 14.400 nhân dân tệ).

Khi mức tiêu thụ bất thường vượt quá ngưỡng 1.000 USD (khoảng 7.200 nhân dân tệ), hệ thống sẽ tự động tăng mức và giới hạn tiêu dùng được nới lỏng trực tiếp lên 20.000 USD đến 100.000 USD (khoảng 144.000 đến 720.000 nhân dân tệ).

May mắn thay, Google cuối cùng đã miễn tất cả các khoản nợ đọng và ngân hàng cũng đã hoàn lại số tiền đã khấu trừ. Davis đã lên lịch một cuộc họp với ban quản lý Google để thảo luận về các lỗ hổng bảo mật.

Có rất nhiều sự cố tương tự. Nhiều người dùng trên Diễn đàn cộng đồng Google Cloud đã báo cáo trải nghiệm tương tự:

A Người Nhật. Người dùng này đã sử dụng dịch vụ đám mây một cách bình thường nhưng không hiểu sao lại bị tính phí 44.000 USD (khoảng 316.800 RMB) một cách không thể giải thích được. Sau khi tắt giao diện API theo cách thủ công, hóa đơn vẫn tăng lên 128.000 USD (khoảng 921.600 RMB).

Vào tháng 3, khóa API của một người dùng khác đã bị lạm dụng và hóa đơn trị giá 82.314,44 đô la Mỹ (khoảng 592.700 nhân dân tệ) đã bị tính phí trong vòng hai ngày, trong khi mức tiêu thụ hàng ngày của tài khoản chỉ là 180 đô la Mỹ (khoảng 1.296 nhân dân tệ).

Công ty bảo mật mạng Truffle Security Co. đã cảnh báo: Google Cloud áp dụng thiết kế khóa API định dạng thống nhất, ban đầu chỉ được sử dụng để mã hóa nhận dạng dự án.

Sau khi dự án kích hoạt dịch vụ giao diện mô hình lớn, khóa chung cũ sẽ tự động được nâng cấp lên chứng chỉ ủy quyền trả phí. Sau khi key bị rò rỉ, kẻ tấn công có thể tùy ý gọi giao diện thanh toán để quẹt hóa đơn dịch vụ đám mây.

Nếu Google vẫn không sửa đổi các quy tắc cấp phép API và khắc phục những thiếu sót về bảo mật thì những sự cố bị trừ phí cao ngất ngưởng như vậy sẽ tiếp tục xảy ra.