Google снова отличился: API-ключи живут дольше своего срока

Эксперты в сфере кибербезопасности встревожены: оказалось, что даже после удаления API-ключей в системе Google Cloud эти ключи остаются активными. API-ключи — это специальные коды, которые дают доступ к сервисам и данным Google, например, облачным приложениям или картам. Как правило, если случилась утечка или возникла угроза, администраторы удаляют ключ, чтобы заблокировать неавторизованный доступ. Но всё оказалось не так просто. Исследователи сообщили, что после удаления ключей те по-прежнему могут использоваться злоумышленниками в течение неопределённого времени. Более того, Google не предоставляет инструментов, чтобы ускорить отзыв ключа или получить подтверждение, что он действительно прекратил работу. Получается, если ваш ключ скомпрометирован, полностью себя обезопасить не выйдет даже после удаления. Это создает дополнительные риски для бизнеса и пользователей. Проблема особенно актуальна для компаний, которые активно используют Google Cloud и интегрируют сторонние сервисы. Эксперты советуют быть максимально осторожными: ограничивать права доступа ключей, использовать двухфакторную аутентификацию и по возможности переключаться на более надёжные способы авторизации. Google пока не прокомментировал ситуацию конкретными сроками устранения проблемы или дорожной картой по её решению. Между тем злоумышленники могут воспользоваться этой лазейкой, причём даже если официальный владелец ключа уверен, что доступ закрыт. В целом этот случай наглядно показал, насколько важно внимательно относиться к вопросам управления цифровой безопасностью, особенно при работе с крупнейшими технологическими компаниями.