121/69 (IT) ประจำวันจันทร์ที่ 2 มีนาคม 2569
บริษัทด้านความปลอดภัย Truffle Security เปิดเผยงานวิจัยชิ้นใหม่ที่พบว่า Google Cloud API Key จำนวนเกือบ 2,863 รายการถูกฝังอยู่ในโค้ดฝั่ง Client-Side ของเว็บไซต์ต่าง ๆ และสามารถเข้าถึงได้จากอินเทอร์เน็ตสาธารณะ ซึ่งรวมถึงเว็บไซต์ที่เชื่อมโยงกับ Google เอง โดย API Key เหล่านี้เดิมทีถูกออกแบบมาเพื่อระบุตัวตนของโปรเจกต์สำหรับการเรียกเก็บเงินเท่านั้น แต่กลับได้รับสิทธิ์เข้าถึง Gemini API โดยอัตโนมัติเมื่อผู้ใช้เปิดใช้งาน Generative Language API ในโปรเจกต์นั้น ๆ โดยที่ไม่มีการแจ้งเตือนใด ๆ ทั้งสิ้น นักวิจัย Joe Leon ระบุว่า “ด้วย Key ที่ถูกต้องเพียงใบเดียว ผู้โจมตีสามารถเข้าถึงไฟล์ที่อัปโหลด ข้อมูลที่แคชไว้ และยังสามารถผลักภาระค่าใช้จ่าย LLM ไปยังบัญชีของเหยื่อได้อีกด้วย”
ความน่ากังวลยิ่งทวีขึ้น เมื่อบริษัท Quokka ออกรายงานเพิ่มเติมพบ Google API Key ที่ฝังอยู่ในแอปพลิเคชัน Android กว่า 250,000 แอปรวมทั้งสิ้นมากกว่า 35,000 รายการ นอกจากนี้ยังมีรายงานจากผู้ใช้ใน Reddit ที่อ้างว่า Google Cloud API Key ที่ถูกขโมยไปทำให้เกิดค่าใช้จ่ายสูงถึง 82,314 ดอลลาร์สหรัฐ ภายในเพียง 2 วัน (11-12 กุมภาพันธ์ 2026) จากปกติที่ใช้จ่ายเพียง 180 ดอลลาร์ต่อเดือน ปัญหาส่วนหนึ่งเกิดจากค่า Default ของ Google Cloud ที่กำหนดให้ API Key ใหม่มีสถานะ “Unrestricted” หมายความว่าสามารถใช้งานได้กับทุก API ที่เปิดใช้งานในโปรเจกต์นั้น รวมถึง Gemini ด้วย
ขณะนี้ Google ได้ออกมายืนยันว่ารับทราบปัญหาดังกล่าวแล้ว และได้ดำเนินมาตรการเชิงรุกเพื่อตรวจจับและบล็อก API Key ที่รั่วไหลซึ่งพยายามเข้าถึง Gemini API แล้ว สำหรับผู้ที่ใช้งาน Google Cloud Project ควรรีบตรวจสอบว่ามี AI-related API ใดเปิดใช้งานอยู่หรือไม่ และหาก Key เหล่านั้นถูกเปิดเผยสู่สาธารณะ ไม่ว่าจะผ่าน JavaScript หรือ Public Repository ควรทำการ Rotate Key ทันที โดยเฉพาะ Key ที่เก่าที่สุด ซึ่งมีความเสี่ยงสูงสุด ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่า “ความเสี่ยงด้านความปลอดภัยนั้นมีการเปลี่ยนแปลงอยู่ตลอดเวลา การทดสอบและประเมินความปลอดภัยจึงต้องดำเนินการอย่างต่อเนื่อง ไม่ใช่เพียงครั้งเดียว”
แหล่งข่าว https://thehackernews.com/2026/02/thousands-of-public-google-cloud-api.html
