As chaves do Google Maps/Cloud API (Interface de Programação de Aplicativos) que antes eram seguras para publicação agora podem, em muitos casos, ser usadas como credenciais reais da Gemini AI. Isso significa que qualquer chave presente em JavaScript público ou código de aplicativo agora pode permitir que invasores se conectem à Gemini por meio de sua API, acessem dados ou aumentem a conta de outra pessoa.
Pesquisadores encontraram cerca de 2.800 chaves API do Google ativas em códigos públicos que podem ser autenticadas no Gemini, incluindo chaves pertencentes a grandes empresas financeiras, de segurança, de recrutamento e até mesmo do próprio Google.
Historicamente, as chaves da API do Google Cloud para serviços como Maps, YouTube , Firebase, etc., eram tratadas como identificadores de faturamento não confidenciais, e as próprias orientações do Google permitiam incorporá-las no código do lado do cliente.
Se compararmos essa questão com a reutilização de sua senha em diferentes sites e plataformas, vemos que o uso de um único identificador pode se tornar uma chave mestra para ativos mais valiosos do que os usuários ou desenvolvedores jamais imaginaram.
A principal diferença está em quem é o responsável. No caso da reutilização de senhas, os usuários finais são explicitamente alertados. Todos os serviços orientam que eles escolham senhas exclusivas, e a comunidade de segurança vem martelando essa mensagem há anos. Se a mesma senha for reutilizada em três sites e uma violação comprometer todos eles, o risco vem de uma decisão do usuário, mesmo que a conveniência tenha motivado essa decisão.
Com as chaves API do Google, os desenvolvedores e as equipes de segurança seguiam as orientações históricas do próprio Google de que essas chaves eram apenas identificadores de faturamento seguros para exposição no lado do cliente. Quando o Gemini foi ativado, essas antigas chaves API passaram a funcionar repentinamente como credenciais de autenticação reais.
Do ponto de vista de um invasor, a reutilização de senhas significa que você pode pegar uma credencial roubada de um site vulnerável e reutilizá-la em contas de e-mail, bancárias ou na nuvem usando o credential stuffing. A mudança do Gemini significa que uma chave originalmente considerada por todos como “apenas para o Maps” agora funciona em um endpoint de IA que pode estar conectado a documentos, calendários ou outros fluxos de trabalho confidenciais. Ela também pode ser usada indevidamente para esgotar o orçamento de nuvem de alguém em grande escala.
Como se manter seguro
A diferença com este caso de reutilização efetiva de senhas é que, desta vez, ela foi incorporada ao design, em vez de escolhida pelos usuários.
O problema principal é que o Google usa um único formato de chave API para dois fins fundamentalmente diferentes: identificação pública e autenticação confidencial. A API Gemini herdou uma arquitetura de gerenciamento de chaves criada para um fim diferente.
Os pesquisadores afirmam que o Google reconheceu o problema que eles relataram e tomou medidas significativas, mas ainda não corrigiu a causa raiz.
Conselhos para desenvolvedores
Os desenvolvedores devem verificar se o Gemini (Generative Language API) está habilitado em seus projetos e auditar todas as chaves API em seu ambiente para determinar se alguma delas está exposta publicamente e substituí-las imediatamente.
- Verifique todos os projetos do Google Cloud Platform (GC) para a API Generative Language. Acesse o console do GCP, navegue até APIs e serviços > APIs e serviços ativados e procure a API Generative Language. Faça isso para todos os projetos da sua organização. Se não estiver ativada, você não será afetado por esse problema específico.
- Se a API de linguagem generativa estiver ativada, verifique suas chaves de API. Navegue até APIs e serviços > Credenciais. Verifique a configuração de cada chave API. Você está procurando dois tipos de chaves:
- Chaves que exibem um ícone de aviso, o que significa que estão configuradas como irrestritas
- Chaves que listam explicitamente a API da linguagem generativa nos seus serviços permitidos
Qualquer uma das configurações permite que a chave acesse o Gemini.
- Verifique se nenhuma dessas chaves é pública. Essa é uma etapa crítica. Se você encontrar uma chave com acesso ao Gemini incorporada no JavaScript do lado do cliente, verificada em um repositório público ou exposta online de outra forma, você tem um problema. Comece pelas chaves mais antigas. Essas são as mais prováveis de terem sido implantadas publicamente sob a orientação antiga de que as chaves API são seguras para compartilhar e, então, ganharam privilégios Gemini retroativamente quando alguém da sua equipe habilitou a API. Se você encontrar uma chave exposta, troque-a.
Conselhos para pessoas físicas
Para usuários regulares, isso tem menos a ver com gerenciamento de chaves e mais com manter sua conta do Google bloqueada e ter cuidado com o acesso de terceiros.
- Vincule o Gemini apenas a contas ou armazenamentos de dados (Drive, Mail, Calendário, sistemas empresariais) que você se sinta confortável em disponibilizar por meio de API e revise regularmente quais integrações e aplicativos de terceiros têm acesso à sua conta do Google.
- Ao avaliar aplicativos que integram o Gemini (extensões de navegador, ferramentas SaaS, aplicativos móveis), dê preferência àqueles que fazem chamadas Gemini a partir de seu backend, em vez de diretamente do seu navegador.
- Se você usa o Gemini por meio de um projeto do Google Cloud (por exemplo, se você é um usuário avançado ou o utiliza para trabalhar), monitore os relatórios de faturamento e os registros de uso do GCP para detectar atividades incomuns do Gemini, especialmente picos que não correspondem ao seu próprio uso.
Não nos limitamos a informar sobre privacidade - oferecemos a você a opção de usá-la.
Os riscos Privacy nunca devem ir além de uma manchete. Mantenha sua privacidade on-line usando o Malwarebytes Privacy VPN.
