“`html

Invasão no Google Cloud: Um alerta para a segurança na nuvem

Um consultor de inteligência artificial (IA) da Austrália teve A$ 25.672,86 (dólar australiano), cerca de R$ 91.237,24, cobrados em sua fatura do Google Cloud após um invasor explorar um serviço Cloud Run. E, não. Não foi um caso de simples negligência por parte do usuário. A situação aconteceu mesmo com orçamento configurado para A$ 10 e múltiplas camadas de segurança ativas na conta.

Aos que estão por fora, uma breve contextualização: Jesse Davies, fundador da Agentic Labs e consultor de IA na Austrália, acordou no início deste mês com uma notificação de cobrança que ultrapassava em mais de 2.500x (vezes) o limite de orçamento estabelecido para sua conta do Google Cloud.

Davies mantinha práticas de segurança robustas para seu ambiente no Google AI Studio. A configuração incluía chaves de API separadas por projeto, contas de cobrança divididas, autenticação de dois fatores ativa e registros de auditoria do Cloud habilitados. O conjunto de medidas, contudo, foi contornado por uma única vulnerabilidade no ecossistema de serviços do Google Cloud.

Como um serviço inativo do Cloud Run permitiu o acesso não autorizado

O incidente teve origem em um serviço do Cloud Run que Davies havia publicado meses antes por meio do AI Studio. O invasor não precisou roubar credenciais ou interceptar chaves de API para executar a ação. Bastou localizar a URL pública do serviço, que permanecia acessível, embora não estivesse indexada em mecanismos de busca nem compartilhada em qualquer canal.

A partir desse ponto, o próprio proxy do Google Cloud assinou cada requisição feita ao serviço (por parte do invasor) utilizando a chave de API armazenada como variável de ambiente em texto simples dentro do contêiner do Cloud Run. A arquitetura do sistema validou as chamadas do criminoso como se fossem legítimas, sem acionar nenhum mecanismo de contenção.

Atualização automática de tier removeu teto de proteção durante o ataque

A conta de Davies operava inicialmente no Tier 2 do Google Cloud, categoria que impõe um limite de gastos de US$ 2.000. Portanto, em tese, ele estaria seguro, certo? Errado… Durante a madrugada do incidente, quando o volume de cobranças ultrapassou o patamar de US$ 1.000, o sistema da Google realizou uma promoção automática para o tier seguinte sem emitir qualquer notificação ao titular da conta.

O novo nível, oferecido promocionalmente ao invasor, elevou o teto de gastos para uma faixa entre US$ 20.000 e US$ 100.000.

A funcionalidade de escalonamento automático tem como propósito permitir que serviços cresçam sem interrupções por bloqueios de cobrança. No contexto de um ataque, contudo, o mecanismo aumenta ainda mais o prejuízo financeiro ao remover a única barreira que poderia ter interrompido as cobranças ainda na casa dos milhares de dólares.

Quando o alerta de orçamento finalmente chegou na manhã seguinte, A$ 10.000 (~ R$ 35.538,40) já haviam sido debitados do cartão de crédito de Davies, que passou a operar com saldo insuficiente para outras transações. Enquanto ele ainda aguardava retorno do suporte do Google, mais A$ 15.000 (~ R$ 53.307,60) foram processados na mesma conta.

Nove recursos de segurança estavam desativados por padrão

Davies identificou posteriormente 9 funcionalidades de segurança do Google Cloud que, se ativas, poderiam ter bloqueado ou mitigado o incidente. Todas estavam desativadas nas configurações padrão da plataforma.

A descoberta adiciona uma camada de complexidade ao já problemático caso, pois indica que mesmo usuários com conhecimentos técnicos avançados podem estar expostos a brechas que dependem de configurações manuais não documentadas de forma adequada. O contato com o suporte humano do Google Cloud levou vários dias para ser estabelecido. A cobrança foi posteriormente cancelada pela empresa e as transações que chegaram a ser processadas foram estornadas pela instituição financeira de Davies.

O episódio, porém, ainda não está totalmente encerrado. Uma reunião com gerentes do Google está agendada para discutir os detalhes do caso e as falhas de sistema que permitiram sua ocorrência.

Outros usuários relatam cobranças de até US$ 128 mil em fóruns especializados

Davies compartilhou seu relato no subreddit r/googlecloud e questionou outros usuários sobre experiências semelhantes. As respostas confirmaram um padrão de incidentes envolvendo cobranças desproporcionais associadas a APIs do Google Cloud.

Um usuário do Japão descreveu ter recebido uma fatura inicial de US$ 44.000 (~ R$ 218.468,80) que continuou crescendo até atingir US$ 128.000 (~ R$ 635.545,60) mesmo após a pausa manual da API. No mês anterior ao caso de Davies, outro incidente documentado envolveu o uso indevido de uma chave de API que resultou em US$ 82.314,44 (~ R$ 408.707,66) em cobranças acumuladas, e tudo isso em uma conta cujo consumo mensal habitual girava em torno de US$ 180 (~ R$ 893,74).

Went to bed with a $10 budget alert. Woke up to $25,672.86 in debt to Google Cloud.

by u/venturaxi in googlecloud

Formato único de chave de API e ativação do Gemini aumentam alcance de ataque

A empresa de segurança cibernética Truffle Security Co. já havia sinalizado anteriormente os riscos estruturais relacionados ao formato unificado de chave de API utilizado pelo Google Cloud. Essas chaves funcionavam originalmente apenas como identificadores de projeto. A partir do momento em que a API Gemini é ativada em qualquer projeto do Google Cloud, essas mesmas chaves são convertidas automaticamente em credenciais válidas para o modelo de IA generativa.

A conversão silenciosa significa que qualquer pessoa com acesso à chave pode gerar chamadas à API Gemini e acumular cobranças de uso de IA na conta do titular do projeto. O mecanismo permanece ativo a menos que políticas mais restritivas sejam implementadas pelo Google em relação à ativação do Gemini e ao gerenciamento de credenciais legadas.

Por que esse incidente importa?

A situação destaca não apenas os riscos que acompanham a implementação de serviços em nuvem, mas também as falhas nas configurações padrão que podem expor ainda mais os usuários a problemas financeiros. O fato de usuários experientes como Davies terem sido vulneráveis a um ataque tão simples é um alerta para todos os usuários de soluções em nuvem.

Portanto, a pergunta que fica é: o que você está fazendo para proteger suas contas na nuvem e evitar surpresas desagradáveis? Compartilhe sua opinião e continue acompanhando as novidades do universo da tecnologia e segurança na nuvem!

“`