Le consultant australien en intelligence artificielle Jesse Davis a récemment été confronté à un incident scandaleux :Il n'a défini qu'un budget mensuel de 7 USD (environ 50 RMB) sur son compte Google Cloud, mais à son réveil, il a reçu une facture exorbitante de 18 392 USD (environ 132 400 RMB).Le coût total s'est accumulé en quelques heures du jour au lendemain.

Davis prétend connaître les spécifications de sécurité de la plateforme de développement d'IA de Google. Il configure quotidiennement les clés API pour chaque projet, divise les comptes de facturation indépendants et active l'authentification à deux facteurs et les journaux d'audit cloud.

Cependant, Davis a découvert que l'attaquant n'avait pas volé les clés, mais avait trouvé un lien public vers un service d'hébergement cloud qu'il avait publié des mois plus tôt.Même si le lien public n’a jamais été partagé en externe et n’a pas été indexé par les moteurs de recherche, il a quand même été utilisé par des pirates informatiques et a initié plus de 60 000 requêtes.

Le programme d'agent officiel de Google lira automatiquement les variables d'environnement de la clé API stockées en texte clair dans le conteneur et complétera la signature d'autorisation pour chaque demande d'accès.

Par conséquent, lorsque l'avertissement budgétaire a été lancé tôt le lendemain matin, la carte de crédit de Davis avait été débitée de 6 881 dollars américains (environ 47 000 yuans) ;Lors de la communication avec le service client de Google, des frais supplémentaires d'environ 10 321 USD (environ 70 500 yuans) ont été ajoutés.

Cependant, Google Cloud disposait à l'origine de neuf fonctionnalités de sécurité susceptibles d'empêcher de tels incidents, mais elles étaient toutes désactivées par défaut.

Pour aggraver les choses, Google a automatiquement mis à jour le compte de Davis sans préavis. Le compte disposait à l'origine d'autorisations de niveau 2, avec une limite de consommation de 2 000 dollars américains (environ 14 400 yuans).

Lorsque la consommation anormale dépasse le seuil de 1 000 $ US (environ 7 200 RMB), le système augmente automatiquement le niveau et la limite de consommation est directement assouplie de 20 000 $ US à 100 000 $ US (environ 144 000 à 720 000 RMB).

Heureusement, Google a finalement annulé tous les arriérés et la banque a remboursé l'argent déduit. Davis a programmé une réunion avec la direction de Google pour discuter des failles de sécurité.

Il existe de nombreux incidents similaires. De nombreux utilisateurs du forum de la communauté Google Cloud ont signalé des expériences similaires :

Un utilisateur japonais qui utilisait normalement les services cloud s'est vu inexplicablement facturer 44 000 dollars (environ 316 800 yuans). Après avoir fermé manuellement l'interface API, la facture s'élevait encore à 128 000 dollars (environ 921 600 yuans).

En mars, la clé API d'un autre utilisateur a été utilisée de manière abusive et une facture de 82 314,44 dollars américains (environ 592 700 RMB) a été facturée en deux jours, alors que la consommation mensuelle quotidienne du compte n'était que de 180 dollars américains (environ 1 296 RMB).

La société de sécurité réseau Truffle Security Co. a averti que Google Cloud adoptait une conception de clé API au format unifié, qui n'était à l'origine utilisée que pour le codage d'identification du projet.

Une fois que le projet ouvrira le service d'interface grand modèle, l'ancienne clé générale sera automatiquement mise à niveau vers un certificat d'autorisation payant. Une fois la clé divulguée, l'attaquant peut appeler l'interface de paiement à volonté pour récupérer les factures de services cloud.

Si Google ne modifie toujours pas les règles d'autorisation de l'API et ne corrige pas les failles de sécurité, de tels incidents de déduction de frais exorbitants continueront de se produire.