Ribuan Kunci API Google Cloud Terbuka dengan Akses Gemini, Risiko Bocornya Data dan Tagihan Membengkak

Peneliti keamanan baru-baru ini menemukan ribuan kunci API Google Cloud yang bersifat publik dapat diakses untuk menggunakan layanan Gemini, yang memungkinkan akses ke data sensitif dan potensi penyalahgunaan tagihan secara besar-besaran. Temuan ini mengungkapkan risiko serius terhadap keamanan dan biaya penggunaan layanan cloud Google.

Bagaimana Kunci API Google Bisa Disalahgunakan untuk Akses Gemini?

Berdasarkan riset dari Truffle Security, sebanyak 2.863 kunci API Google yang memiliki awalan "AIza" ditemukan tersebar luas di kode sisi klien misalnya dalam JavaScript di berbagai situs web. Kunci ini biasanya berfungsi sebagai pengenal proyek untuk tujuan penagihan, bukan sebagai kredensial autentikasi untuk layanan sensitif.

Namun, masalah muncul saat pengguna mengaktifkan Gemini API (atau dikenal juga sebagai Generative Language API) pada proyek Google Cloud mereka. Dengan mengaktifkan API ini, kunci-kunci yang sudah ada mendapat akses tanpa batas ke endpoint Gemini, meskipun sebelumnya tidak dimaksudkan untuk itu.

"Dengan kunci yang valid, penyerang dapat mengakses file yang diunggah, data cache, dan membebankan penggunaan LLM ke akun Anda," ujar Joe Leon, peneliti keamanan dari Truffle Security. "Kunci-kunci ini kini juga dapat mengautentikasi ke Gemini tanpa pemberitahuan atau peringatan."

Dampak Nyata dari Kebocoran Kunci API Ini

Eksploitasi kunci API ini dapat menyebabkan beberapa konsekuensi serius, antara lain:

• Akses tidak sah ke file pribadi melalui endpoint /files dan /cachedContents.
• Penggunaan layanan LLM (Large Language Model) secara tidak sah yang dapat mengakibatkan tagihan cloud membengkak.
• Pencurian kuota layanan yang merugikan pemilik kunci asli.
• Peningkatan risiko keamanan karena kunci API yang seharusnya hanya untuk penagihan kini menjadi kredensial akses penuh.

Truffle Security juga mengungkapkan bahwa secara default, pembuatan kunci API baru di Google Cloud memiliki izin "Unrestricted", artinya kunci tersebut dapat digunakan untuk semua API yang diaktifkan dalam proyek, termasuk Gemini.

Skala Masalah dan Respons Google

Selain Truffle Security, Quokka, perusahaan keamanan mobile, melaporkan menemukan lebih dari 35.000 kunci API Google unik tersebar di aplikasi Android yang dipindainya. Quokka juga memperingatkan bahwa risiko keamanan ini tidak hanya sebatas penyalahgunaan biaya, melainkan juga potensi interaksi AI yang dapat memperluas dampak dari kunci yang terkompromi.

"Gabungan akses inferensi, konsumsi kuota, dan integrasi dengan layanan Google Cloud lainnya menciptakan profil risiko yang jauh berbeda dari model identifikasi penagihan asli," ujar Quokka.

Menanggapi laporan ini, Google menyatakan telah bekerja sama dengan para peneliti dan mengambil langkah proaktif untuk mendeteksi dan memblokir kunci API yang bocor dan mencoba mengakses Gemini.

"Melindungi data dan infrastruktur pengguna adalah prioritas utama kami. Kami sudah menerapkan langkah proaktif untuk mendeteksi dan memblokir kunci API yang bocor dan mengakses Gemini," kata juru bicara Google kepada The Hacker News.

Kasus Penyalahgunaan dan Saran untuk Pengguna

Meskipun belum ada bukti eksploitasi luas, sebuah laporan pengguna di Reddit menyebutkan kunci API Google Cloud yang dicuri menyebabkan tagihan mencapai Rp1,2 miliar (USD 82.314,44) hanya dalam dua hari, jauh meningkat dari biaya normal sekitar Rp2,6 juta (USD 180) per bulan.

Untuk mengurangi risiko, pengguna Google Cloud disarankan untuk:

1. Memeriksa layanan dan API yang diaktifkan pada proyek Google Cloud mereka.
2. Memastikan kunci API yang digunakan di kode klien atau repositori publik tidak memberikan akses ke API AI seperti Gemini.
3. Memutar (rotate) dan mengganti kunci API, terutama yang sudah lama dan kemungkinan tersebar luas.
4. Mengaktifkan kontrol akses yang ketat dan membatasi izin API sesuai kebutuhan.

Truffle Security menekankan pentingnya memulai dari kunci tertua karena kemungkinan besar telah dipublikasikan sebelum adanya perubahan akses Gemini.

Analisis Redaksi

Menurut pandangan redaksi, kasus ini merupakan panggilan keras bagi pengembang dan organisasi untuk tidak lagi memandang kunci API sebagai sekadar token penagihan yang aman dibagikan. Situasi ini menunjukkan bagaimana perubahan kebijakan API dapat secara tiba-tiba mengubah risiko keamanan secara drastis tanpa pemberitahuan langsung, yang berpotensi mengakibatkan kebocoran data dan kerugian finansial yang besar.

Lebih jauh, tren integrasi AI ke layanan cloud yang semakin meluas menuntut pendekatan keamanan yang lebih dinamis dan menyeluruh. Key rotation, pemantauan aktivitas API secara real-time, dan pembatasan izin harus menjadi standar operasional baru.

Perubahan ini juga menyoroti perlunya edukasi berkelanjutan bagi pengembang agar memahami implikasi keamanan dari setiap layanan yang mereka aktifkan. Ke depannya, kita akan melihat semakin banyak tantangan keamanan yang muncul akibat over-permissioning API tanpa kontrol ketat, sehingga organisasi harus proaktif mengadopsi solusi keamanan berbasis perilaku dan anomali.

Dengan langkah cepat dari Google serta kesadaran yang meningkat dari komunitas pengembang, diharapkan insiden serupa dapat diminimalisir. Namun, kewaspadaan dan pengelolaan kunci API yang cermat tetap menjadi kunci utama dalam menjaga keamanan dan biaya penggunaan layanan cloud.