Google Cloud fatura milhares em contas de desenvolvedores sem aviso prévio: o perigo oculto da IA
API keys expostas geraram cobranças de até R$ 60 mil em minutos — e a gigante não pretende mudar sua política.
Imagine acordar e descobrir que sua conta no Google Cloud foi estourada com uma fatura de R$ 60 mil em apenas 30 minutos. Foi exatamente o que aconteceu com Rod Danan, CEO da Prentus, e com o desenvolvedor Isuru Fonseka, em Sydney. O motivo? Uma chave de API que eles achavam segura foi usada por atacantes para acessar os modelos de IA da Gemini — sem que eles jamais tivessem ativado esse serviço.
O "bug-pocalipse" que ninguém esperava
O problema não é isolado. Uma série de relatos publicados pelo The Register revela um padrão alarmante: chaves de API do Google Maps, deixadas publicamente conforme as próprias instruções da empresa, ganharam acesso silencioso ao Gemini após uma atualização que expandiu seu escopo sem comunicar os desenvolvedores. O resultado? Cobranças automáticas de até US$ 100 mil (cerca de R$ 600 mil) sem qualquer autorização explícita.
“Achava que tinha um limite de gastos de US$ 250”, contou Fonseka, que acordou com uma dívida de AU$ 17 mil. O que ele não sabia é que o sistema do Google havia elevado automaticamente seu teto de faturamento para US$ 100 mil, baseado no histórico da conta.
23 minutos de vulnerabilidade: a verdade por trás da revogação
E não para por aí. Mesmo que você perceba o ataque e delete a chave comprometida imediatamente, a segurança pode falhar. Pesquisadores da Aikido descobriram que a revogação das credenciais do Google leva até 23 minutos para se propagar — e durante esse período, os invasores conseguem autenticar mais de 90% das requisições em alguns momentos.
“Isso não é um problema técnico, é uma questão de prioridade”, afirmou Joseph Leon, pesquisador da Aikido, destacando que as credenciais mais modernas do Google (como as do tipo AQ-prefixed) revogam em apenas um minuto.
O conselho do COO do Google Cloud vs. a realidade
Enquanto isso, Francis de Souza, COO do Google Cloud, aconselha empresas a adotarem uma “abordagem de plataforma” para segurança de IA. “Não existe estratégia de IA sem estratégia de dados e de segurança”, disse ele. Mas a prática mostra uma lacuna: a própria Google parece estar aprendendo na marcha enquanto os desenvolvedores pagam a conta.
De Souza alertou ainda sobre o perigo dos “agentes de IA” que podem vasculhar servidores esquecidos e expor dados antigos — como servidores SharePoint desatualizados. “Agentes percorrendo sua empresa vão encontrar esses ativos de dados e expor o que está neles”, explicou.
O futuro é sombrio para quem não se preparar
Com o tempo médio entre uma violação inicial e o próximo estágio do ataque caindo de 8 horas para apenas 22 segundos, a mensagem é clara: segurança não pode mais ser um “depois”. Como disse Lea Kissner, CISO do LinkedIn: “Vamos precisar de pessoas para lidar com o bug-pocalipse”. A pergunta que fica é: sua empresa está pronta para esse novo mundo?
Enquanto isso, o Google já reembolsou os desenvolvedores afetados, mas não planeja mudar sua política de upgrade automático de faturamento. A prioridade, segundo a empresa, é evitar interrupções de serviço — mesmo que isso custe caro para você.
Deixe seu Comentário
0 Comentários