ทีมนักวิจัยจาก Truffle Security ตรวจพบ API Keys กว่า 3,000 รายการถูกฝังไว้ใน Source Code หน้าเว็บไซต์ขององค์กรต่าง ๆ รวมถึง Google เอง ซึ่งเดิมที Google Cloud API มักถูกใช้ในงานทั่วไป (เช่น Maps หรือ YouTube) และไม่ถือเป็นข้อมูลลับ
ช่องโหว่นี้เกิดขึ้นเมื่อ Google เปิดตัว Gemini Assistant คีย์เหล่านี้กลับกลายเป็น Authentication Credentials ที่สามารถใช้ยืนยันตัวตนเพื่อเข้าถึงระบบ Google AI Assistant
ทีมนักวิจัยจาก Truffle Security ได้ค้นพบช่องโหวนี้ และเตือนว่า ผู้ไม่หวังดีสามารถคัดลอก API Key จากหน้า Page Source ของเว็บไซต์ แล้วนำไปใช้เข้าถึงข้อมูลส่วนตัวที่เปิดให้ใช้งานผ่านบริการ Gemini API ได้
เนื่องจาก Gemini API นั้นมีค่าใช้จ่าย ผู้ไม่หวังดีสามารถใช้สิทธิ์การเข้าถึงที่ขโมยมาได้ เพื่อสั่งใช้งาน API ต่าง ๆ เพื่อประโยชน์ของตนเองได้
Truffle Security ระบุว่า "หากผู้ไม่หวังดีเรียกใช้งาน API จนเต็มขีดจำกัด โดยขึ้นอยู่กับรุ่นของโมเดล และขนาดของ Context Window ที่ใช้ พวกเขาอาจสร้างภาระค่าใช้จ่าย ถึง หลายพันดอลลาร์ต่อวันจากบัญชีเหยื่อเพียงบัญชีเดียว"
นอกจากนี้ยังพบอีกหนึ่งกรณีที่น่าสนใจ คือ API Key ถูกใช้เพื่อ Identifier เท่านั้น โดยรหัสดังกล่าวถูกติดตั้งใช้งานมาตั้งแต่เดือนกุมภาพันธ์ 2023 เป็นอย่างน้อย และถูกฝังอยู่ใน Page Source ของเว็บไซต์ของ Google Product
Truffle Security ได้ดำเนินการทดสอบประสิทธิภาพของ API Key ดังกล่าวโดยการเรียกใช้งาน Endpoint /models ของ Gemini API และแสดงรายการโมเดลที่สามารถเรียกใช้งานได้ภายใต้สิทธิ์ของรหัสนั้น
ทีมนักวิจัยได้แจ้งปัญหาให้ Google ทราบเมื่อวันที่ 21 พฤศจิกายน 2568 ซึ่งภายหลังจากการประสานงาน และตรวจสอบอย่างละเอียด Google ได้จำแนกประเภทช่องโหว่นี้เป็น "single-service privilege " เมื่อวันที่ 13 มกราคม 2026
ในแถลงการณ์ Google ยืนยันว่า ได้รับทราบรายงานดังกล่าวแล้ว และได้ประสานงานร่วมกับทีมนักวิจัยเพื่อดำเนินการแก้ไขปัญหาเป็นที่เรียบร้อย และทาง Google ได้ระบุเพิ่มเติมว่า "ทางบริษัทได้เริ่มบังคับใช้มาตรการเชิงรุกในการตรวจจับ และระงับการใช้งานAPI Key ที่รั่วไหล ซึ่งมีความพยายามจะเข้าถึงบริการ Gemini API"
นอกจากนี้ Google ยังระบุถึงมาตราการป้องกันถาวร โดยกำหนดให้รหัส API Studio ชุดใหม่จำกัดสิทธิ์การเข้าถึงเฉพาะบริการ Gemini เท่านั้น พร้อมทั้งมีระบบระงับสิทธิ์การเข้าถึง Gemini สำหรับรหัสที่ตรวจพบว่ามีการรั่วไหล และจะดำเนินการส่งการแจ้งเตือนเชิงรุกให้แก่เจ้าของบัญชีทันทีเมื่อพบการรั่วไหลของข้อมูล
นักพัฒนาควรตรวจสอบว่า Gemini เปิดใช้งานอยู่ในโปรเจ็กต์ของตนหรือไม่ และตรวจสอบ API Key ทั้งหมดในระบบเพื่อระบุว่ามีรหัสใดที่เปิดเผยต่อสาธารณะหรือไม่ และควร Rotate Key เหล่านั้นทันที
นักวิจัยยังแนะนำให้ใช้เครื่องมือ Open-Source อย่าง Truffle Hog เพื่อตรวจจับคีย์ที่เปิดเผยอยู่ใน Source-Code หรือ พื้นที่เก็บข้อมูลต่าง ๆ
ที่มา : bleepingcomputer
You must be logged in to post a comment.