Son günlerde siber güvenlik dünyası, Google Cloud kullanıcılarını yakından ilgilendiren önemli bir sızıntı haberiyle çalkalanıyor. Yapılan araştırmalar, binlerce herkese açık Google Cloud API anahtarının, farkında olmadan Gemini AI servislerine erişim sağladığını ve bu durumun hem veri hırsızlığına hem de binlerce dolarlık fatura şoklarına yol açabileceğini ortaya koydu.
Sorun Ne? "Eski Anahtarlar, Yeni Yetkiler"
Pek çok web sitesi ve mobil uygulama; Google Haritalar, YouTube videoları veya Firebase gibi hizmetleri çalıştırmak için Google Cloud API anahtarlarını kullanıyor. Bu anahtarlar genellikle "istemci taraflı" (client-side) kodlarda, yani tarayıcıda sağ tıklayıp "kaynağı görüntüle" diyen herkesin görebileceği şekilde açıkta duruyor.
Normal şartlarda bu anahtarlar sadece kısıtlı hizmetler için kullanılırken, tehlike şu noktada başlıyor: Bir projede Gemini API (Generative Language API) etkinleştirildiği anda, o projenin mevcut tüm API anahtarları otomatik olarak Gemini'ye de erişim hakkı kazanıyor.
80 Bin Dolarlık Fatura Şoku
Haberin en çarpıcı yanlarından biri, Reddit'te paylaşılan gerçek bir vaka. Bir kullanıcı, normalde ayda 180 dolar olan Google Cloud faturasının, çalınan bir API anahtarı üzerinden yapılan Gemini sorguları nedeniyle sadece 48 saat içinde 82.314 dolara ulaştığını bildirdi. Saldırganlar ele geçirdikleri anahtarla yüksek maliyetli yapay zeka modellerini kullanarak kurbanın hesabına devasa bir yük bindirdi.
Kimler Risk Altında?
Web sitesinde Google Haritalar veya YouTube gömmesi kullananlar.
Mobil uygulama (Android/iOS) geliştiren ve API anahtarını uygulama içine gömenler.
Google Cloud projesinde Gemini (Generative Language API) özelliğini aktif eden ancak eski API anahtarlarını kısıtlamayanlar.
Kendinizi Nasıl Korursunuz? (Güvenlik Adımları)
API Anahtarlarınızı Kontrol Edin: Google Cloud Console üzerinden "API ve Hizmetler" sekmesine gidin. Mevcut anahtarlarınızın hangi servislere erişimi olduğunu inceleyin.
Hizmet Kısıtlaması (API Restrictions) Getirin: Her API anahtarını sadece ihtiyacı olan hizmetle sınırlayın. Örneğin, Haritalar için kullandığınız bir anahtarın Gemini veya diğer yapay zeka servislerine erişimini kesinlikle engelleyin.
Uygulama Kısıtlaması Kullanın: Anahtarlarınızı sadece belirli web sitelerinden (HTTP Referrer) veya belirli IP adreslerinden gelen isteklere yanıt verecek şekilde yapılandırın.
Bütçe Uyarılarını Kurun: Google Cloud panelinde harcama limitleri ve bütçe uyarıları oluşturun. Olağandışı bir artış olduğunda anında e-posta veya bildirim alarak müdahale edebilirsiniz.
Anahtarlarınızı Yenileyin (Rotate): Eğer anahtarınızın halka açık bir kodda veya GitHub gibi bir platformda sızdırıldığından şüpheleniyorsanız, hemen o anahtarı silin ve kısıtlamaları doğru yapılmış yeni bir anahtar oluşturun.
Sitemizin Takipçilerine Not: Güvenlik sadece karmaşık şifreler koymak değil, verdiğimiz yetkilerin sınırlarını bilmektir. Eğer siz de Google Cloud servislerini kullanıyorsanız, bugün birkaç dakikanızı ayırıp API kısıtlamalarınızı kontrol etmenizi önemle tavsiye ederiz.
