O Google Cloud Service, que tinha um orçamento de várias dezenas de yuans, acordou e devia centenas de milhares de dólares apenas por causa de um simples erro.

O consultor australiano de inteligência artificial Jesse Davis encontrou recentemente um incidente ultrajante:Ele definiu apenas um orçamento mensal de US$ 7 (aproximadamente RMB 50) em sua conta do Google Cloud, mas quando acordou recebeu uma conta altíssima de US$ 18.392 (aproximadamente RMB 132.400).Todo o custo acumulado em questão de horas durante a noite.

Davis afirma estar familiarizado com as especificações de segurança da plataforma de desenvolvimento de IA do Google. Ele configura chaves de API para cada projeto diariamente, divide contas de faturamento independentes e ativa a autenticação de dois fatores e registros de auditoria na nuvem.

No entanto, Davis descobriu que o invasor não havia roubado as chaves, mas havia encontrado um link público para um serviço de hospedagem em nuvem que havia postado meses antes.Embora o link público nunca tenha sido compartilhado externamente e não tenha sido indexado por mecanismos de busca, ele ainda foi usado por hackers e iniciou mais de 60 mil solicitações.

O programa oficial do agente do Google lerá automaticamente as variáveis ​​de ambiente da chave da API armazenadas em texto não criptografado no contêiner e preencherá a assinatura de autorização para cada solicitação de acesso.

Portanto, quando o aviso orçamentário foi divulgado na manhã seguinte, o cartão de crédito de Davis havia sido debitado em US$ 6.881 (aproximadamente 47.000 yuans);Durante a comunicação com o atendimento ao cliente do Google, foi adicionada uma taxa adicional de aproximadamente US$ 10.321 (aproximadamente 70.500 yuans).

No entanto, o Google Cloud originalmente tinha nove recursos de segurança que poderiam evitar tais incidentes, mas todos foram desativados por padrão.

Para piorar a situação, o Google atualizou automaticamente a conta de Davis sem qualquer aviso prévio. A conta originalmente tinha permissões de nível 2, com limite de consumo de US$ 2.000 (aproximadamente 14.400 yuans).

Quando o consumo anormal excede o limite de US$ 1.000 (aproximadamente RMB 7.200), o sistema aumenta automaticamente o nível e o limite de consumo é diretamente relaxado para US$ 20.000 a US$ 100.000 (aproximadamente RMB 144.000 a 720.000 RMB).

Felizmente, o Google acabou renunciando a todos os atrasos e o banco reembolsou o dinheiro deduzido. Davis agendou uma reunião com a administração do Google para discutir vulnerabilidades de segurança.

Existem muitos incidentes semelhantes. Muitos usuários do Fórum da comunidade do Google Cloud relataram experiências semelhantes:

Um usuário japonês que usava serviços em nuvem normalmente recebeu inexplicavelmente uma cobrança de US$ 44.000 (aproximadamente 316.800 yuans). Depois de desligar manualmente a interface API, a conta ainda subiu para US$ 128.000 (aproximadamente 921.600 yuans).

Em março, a chave API de outro usuário foi abusada e uma conta de US$ 82.314,44 (aproximadamente RMB 592.700) foi cobrada em dois dias, enquanto o consumo diário mensal da conta foi de apenas US$ 180 (aproximadamente RMB 1.296).

A empresa de segurança de rede Truffle Security Co. alertou que o Google Cloud adota um design de chave de API de formato unificado, que originalmente era usado apenas para codificação de identificação de projetos.

Assim que o projeto abrir o serviço de interface de modelo grande, a antiga chave geral será automaticamente atualizada para um certificado de autorização pago. Após o vazamento da chave, o invasor pode chamar a interface de pagamento à vontade para roubar as contas do serviço de nuvem.

Se o Google ainda não modificar as regras de permissão da API e corrigir as deficiências de segurança, esses incidentes de dedução de taxas altíssimas continuarão a ocorrer.