Um cliente do Google Cloud chamado Jesse Davies levou um susto ao acordar com uma cobrança superior a US$ 18 mil. O detalhe que chama a atenção é que o limite definido por ele era de apenas US$ 7, e essa situação foi fruto de uma chave de API exposta publicamente. Isso permitiu um ataque que realizou mais de 60 mil aquisições dentro de poucas horas.
Como uma chave de API esquecida gerou a dívida de US$ 18 mil no Google Cloud
O caso se originou de uma chave de API que estava publicamente acessível. A partir disso, um invasor conseguiu explorar essa credencial e isso resultou em mais de 60 mil aquisições automatizadas. O usuário tinha um orçamento de apenas US$ 7, mas a fatura alcançou US$ 18 mil em apenas algumas poucas horas.
Limites de gasto não impediram o problema
Vale destacar que foi configurado um limite de US$ 1.400, mas o sistema permitiu ultrapassar o valor. Ou seja, são elementos que indicam atraso na aplicação de limites e falhas nos controles em tempo real. Segundo Davies, em uma publicação no LinkedIn:
