خدمة Google Cloud Service التي كانت ميزانيتها عشرات الدولارات، استيقظت وأصبحت مدينة بمئات الآلاف من الدولارات لمجرد أنها ارتكبت خطأً بسيطًا

واجه مستشار الذكاء الاصطناعي الأسترالي جيسي ديفيس مؤخرًا حادثة شنيعة:لقد قام بتعيين ميزانية شهرية قدرها 7 دولارات أمريكية فقط (حوالي 50 يوان صيني) في حساب Google Cloud الخاص به، ولكن عندما استيقظ تلقى فاتورة مرتفعة للغاية بقيمة 18,392 دولارًا أمريكيًا (حوالي 132,400 يوان صيني).تراكمت التكلفة بأكملها في غضون ساعات بين عشية وضحاها.

يدعي ديفيس أنه على دراية بالمواصفات الأمنية لمنصة تطوير الذكاء الاصطناعي من Google. يقوم بتكوين مفاتيح واجهة برمجة التطبيقات (API) لكل مشروع على أساس يومي، ويقسم حسابات الفوترة المستقلة، ويقوم بتشغيل المصادقة الثنائية وسجلات التدقيق السحابي.

ومع ذلك، اكتشف ديفيس أن المهاجم لم يسرق المفاتيح، لكنه وجد رابطًا عامًا لخدمة استضافة سحابية كان قد نشرها قبل أشهر.على الرغم من أن الرابط العام لم تتم مشاركته خارجيًا مطلقًا ولم تتم فهرسته بواسطة محركات البحث، إلا أنه لا يزال يستخدم من قبل المتسللين وقدم أكثر من 60 ألف طلب.

سيقوم برنامج وكيل Google الرسمي تلقائيًا بقراءة متغيرات بيئة مفتاح API المخزنة بنص واضح في الحاوية وإكمال توقيع التفويض لكل طلب وصول.

لذلك، عندما تم تأجيل تحذير الميزانية في وقت مبكر من صباح اليوم التالي، تم خصم مبلغ 6881 دولارًا أمريكيًا من بطاقة ديفيس الائتمانية (حوالي 47000 يوان)؛أثناء التواصل مع خدمة عملاء Google، تمت إضافة رسوم إضافية تبلغ حوالي 10,321 دولارًا أمريكيًا (حوالي 70,500 يوان).

ومع ذلك، كان لدى Google Cloud في الأصل تسع ميزات أمان يمكنها منع مثل هذه الحوادث، ولكن تم إيقاف تشغيلها جميعًا افتراضيًا.

ومما زاد الطين بلة، قيام Google تلقائيًا بترقية حساب ديفيس دون أي إشعار. كان الحساب في الأصل يتمتع بأذونات المستوى الثاني، مع حد استهلاك قدره 2000 دولار أمريكي (حوالي 14400 يوان).

عندما يتجاوز الاستهلاك غير الطبيعي عتبة 1000 دولار أمريكي (حوالي 7200 يوان صيني)، يقوم النظام تلقائيًا بزيادة المستوى ويتم تخفيف حد الاستهلاك مباشرة إلى 20000 دولار أمريكي إلى 100000 دولار أمريكي (حوالي 144000 يوان صيني إلى 720000 يوان صيني).

ولحسن الحظ، تنازلت جوجل في النهاية عن جميع المتأخرات، وقام البنك بإعادة الأموال المخصومة. حدد ديفيس موعدًا لعقد اجتماع مع إدارة Google لمناقشة الثغرات الأمنية.

هناك العديد من الحوادث المماثلة. أبلغ العديد من المستخدمين في منتدى Google Cloud Community عن تجارب مماثلة:

تم دفع فاتورة للمستخدم الياباني الذي يستخدم الخدمات السحابية بشكل طبيعي بمبلغ 44000 دولار أمريكي (حوالي 316800 يوان). وبعد إغلاق واجهة API يدويًا، ارتفعت الفاتورة إلى 128000 دولار أمريكي (حوالي 921600 يوان).

في مارس، تمت إساءة استخدام مفتاح واجهة برمجة التطبيقات (API) الخاص بمستخدم آخر، وتم تحصيل فاتورة بقيمة 82,314.44 دولارًا أمريكيًا (حوالي 592,700 يوان صيني) في غضون يومين، في حين كان الاستهلاك الشهري اليومي للحساب 180 دولارًا أمريكيًا فقط (حوالي 1,296 يوان صيني).

حذرت شركة أمن الشبكات Truffle Security Co. من أن Google Cloud تتبنى تصميمًا موحدًا لمفتاح API، والذي كان يستخدم في الأصل فقط لترميز تعريف المشروع.

بمجرد أن يفتح المشروع خدمة واجهة النموذج الكبير، ستتم ترقية المفتاح العام القديم تلقائيًا إلى شهادة ترخيص مدفوعة الأجر. وبعد تسريب المفتاح، يمكن للمهاجم الاتصال بواجهة الدفع حسب الرغبة لتمرير فواتير الخدمة السحابية.

إذا استمرت Google في عدم تعديل قواعد أذونات واجهة برمجة التطبيقات (API) وإصلاح أوجه القصور الأمنية، فسوف تستمر حوادث خصم الرسوم المرتفعة هذه في الحدوث.