Auf den Punkt: Google API-Schlüssel funktionieren noch bis zu 23 Minuten nach ihrer Löschung, was ein Sicherheitsrisiko darstellt und Googles Versprechen der sofortigen Deaktivierung widerspricht.
Ein Sicherheitsforschender entdeckte, dass API-Schlüssel von Google bis zu 23 Minuten nach dem Löschen noch verwendet werden können – obwohl der Cloud-Anbieter sofortige Deaktivierung verspricht.
Ein Sicherheitsforschender hat eine bemerkenswerte Sicherheitslücke bei Google Cloud aufgedeckt: API-Schlüssel können noch bis zu 23 Minuten nach ihrer Löschung aktiv bleiben und funktionieren weiterhin, obwohl Google verspricht, dass die Deaktivierung sofort erfolgt. Diese Verzögerung bei der Propagation der Löschung durch Googles Systeme stellt ein erhebliches Sicherheitsrisiko dar. Gelöschte oder kompromittierte API-Schlüssel könnten von böswilligen Akteuren in diesem Fenster weiterhin missbraucht werden, um auf sensitive Google Cloud-Ressourcen und -Dienste zuzugreifen. Die Forschung wirft Fragen zur Zuverlässigkeit von Googles Sicherheitsmaßnahmen und den tatsächlichen Reaktionszeiten bei kritischen Sicherheitsereignissen auf.