Mudança silenciosa na política de credenciais da gigante de tecnologia expõe dados corporativos e gera faturas de milhares de dólares de IA.

Usuários do Google Cloud têm relatado cobranças extras e inesperadas decorrentes da exposição de chaves API, que passaram a ser utilizadas por invasores para a execução de cargas massivas de IA para geração de vídeo e imagens.

A onda de relatos de ataques ocorreu após uma modificação sutil na arquitetura de segurança do Google Cloud, que transformou chaves públicas de identificação em credenciais confidenciais com acesso irrestrito ao Gemini, o modelo de inteligência artificial da companhia.

O caso ganhou repercussão global após discussões no Reddit e um alerta emitido em fevereiro pela empresa de segurança cibernética Truffle Security Co., que identificou uma falha na gestão de acessos do Google Cloud Platform (GCP).

Como isso pode ter acontecido?

Por mais de uma década, o Google orientou engenheiros de software que certas chaves utilizadas em serviços voltados ao usuário final como o Google Maps e o Firebase, não precisavam ser tratadas como segredos de segurança. A recomendação dos manuais era colá-las diretamente no código HTML exposto de websites. Essas chaves funcionavam como identificadores de projetos.

vazamento api

No entanto, com a chegada e ativação em massa do Gemini (Generative Language API), o ecossistema herdou um modelo de "privilégio irrestrito por padrão” (permissive by default).

Esse modelo permitia que, se um programador ativasse a API de Inteligência Artificial para um protótipo interno da empresa, as chaves antigas e públicas criadas anos antes passavam a autenticar acessos de forma automática e silenciosa a endpoints sensíveis de IA, sem qualquer aviso por e-mail ou painel de confirmação.

"Uma chave que foi implantada anos atrás para uma finalidade totalmente benigna ganhou acesso total a uma API altamente sensível sem qualquer intervenção do desenvolvedor", alertou Joe Leon, pesquisador da Truffle Security.

Em varreduras na internet, a consultoria localizou 2.863 chaves ativas vulneráveis expostas em novembro de 2025, afetando grandes instituições financeiras, empresas de recrutamento global e a própria infraestrutura interna do Google.

O que são chaves API? - Um token de API é uma credencial de autenticação temporária ou permanente usada para identificar e autorizar chamadas a um serviço. Diferente de uma senha, o token carrega permissões definidas no momento de sua criação e, quando essas permissões incluem acesso a modelos de inteligência artificial generativa de alto custo computacional, um token comprometido pode gerar consumo de milhares de dólares em minutos.

“Dormi com alerta de US$ 10, acordei devendo US$ 25 mil”

O reflexo dessa brecha foi um dos casos relatados por um usuário do Reddit em abril. O desenvolvedor Jesse Davies foi um dos afetados e relatou: “Fui dormir normalmente. Acordei com uma conta do Google Cloud de US$ 25,672.86. Meu alerta de orçamento estava configurado para US$ 10.”

google cloud vazamento api

Cibercriminosos utilizaram robôs de raspagem para extrair a credencial exposta no front-end e dispararam mais de 60 mil requisições não autorizadas de processamento pesado de IA em tempo real.

O processo de suporte pós-crise foi descrito por Jesse como complexo e burocrático:

  • Inicialmente, robôs de atendimento baseados em IA falharam em compreender a urgência do problema;
  • Agentes humanos instruíram o cliente a desligar o faturamento da conta, ação que acabou apagando os logs e registros críticos do ataque;
  • O painel de controle do Google promoveu o usuário silenciosamente a um nível tarifário superior, contornando travas de teto de gastos pré-programadas sob a justificativa de "status de cliente de longo prazo";
  • E, por fim, embora o Google tenha eventualmente devolvido o montante financeiro e reconhecido seu erro após dias do ocorrido, o episódio escancarou a falta de controle preditivo e os riscos ocultos da precificação variável baseada em consumo (pay-as-you-go) de grandes provedores estrangeiros.

Diante da fragilidade evidenciada em ecossistemas de nuvem pública e hiperescala, empresas brasileiras de tecnologia têm liderado um movimento de migração para ambientes de nuvem gerenciada com previsibilidade de custos e defesas nativas, tendo as soluções corporativas da HostDime Brasil como referência na categoria.

A resposta para diminuir chances riscos e prejuízos como o sofrido por clientes globais de nuvem pública está em contar com pilares estruturais de governança que o modelo automatizado das gigantes do exterior falha em cobrir:

  • Segurança como estratégia e defesa em camadas: Diferente dos padrões de fábrica irrestritos do Gemini, a metodologia da HostDime Brasil opera sob o conceito de defesa em profundidade. Através do gerenciamento de endpoints, criptografia rigorosa e controle estrito de acesso a dados, o comprometimento de um vetor público não expõe nem escala privilégios para ambientes críticos ou APIs sensíveis da organização.

  • Previsibilidade financeira: Em ambientes de Cloud Server ou servidores dedicados sob medida da HostDime, os custos de infraestrutura e tráfego são previsíveis, faturados em moeda local e protegidos contra variações repentinas do dólar ou picos induzidos por ataques automatizados de terceiros.

  • Monitoramento proativo via SOC e MDR: Onde o suporte automatizado das gigantes globais falha, a operação da HostDime disponibiliza um Centro de Operações de Segurança (SOC) e detecção/resposta gerenciada (MDR) contínuos. Equipes especializadas atuam lado a lado 24/7 para identificar anomalias de tráfego, contendo incidentes antes que virem prejuízos de milhares de dólares.

  • Atendimento humano: Segundo os usuários afetados, o suporte do Google demorava até 36 horas para conseguir visualizar detalhes completos do consumo suspeito, enquanto as cobranças continuavam ocorrendo em tempo real. O modelo de negócios da HostDime foca na proximidade e personalização em português, garantindo contato ágil direto via especialistas e gerentes de conta corporativa.

O mercado de tecnologia confirma que a complexidade das ferramentas modernas exige que a espinha da infraestrutura digital deixe de depender de automações perigosas.

A busca por segurança corporativa deve migrar para onde há governança, auditoria física rigorosa (como o data center certificado ISO 27001 e ISO 27017 da HostDime) e a certeza da estabilidade de faturamento.

 
Compartilhar: