A látszólag ártatlan Google API-kulcsok veszélybe sodorják a Gemini MI-adatokat
Éveken át a fejlesztők gondtalanul használták a Google Cloud API-kulcsokat nyilvános weboldalak JavaScript-kódjaiban, például térképekhez, YouTube-beágyazásokhoz vagy Firebase-szolgáltatásokhoz. Korábban ezek a kulcsok nem jelentettek biztonsági kockázatot, mivel pusztán azonosításra szolgáltak, és nem biztosítottak hozzáférést érzékeny adatokhoz.
Váratlan kockázat: teljes hozzáférés a Gemini MI-hez
A Gemini MI-asszisztens és az LLM API megjelenésével azonban a helyzet megváltozott. Immár a Google Cloud API-kulcsok nemcsak azonosítóként, hanem hitelesítő adatként is szolgálnak a Gemini MI esetében, lehetővé téve, hogy bárki, aki ezekhez a kulcsokhoz jut, privát adatokhoz férjen hozzá. A Truffle Security kutatói közel 2800 ilyen aktív kulcsot találtak az interneten elérhető kódban, köztük pénzügyi, biztonságtechnikai és toborzó cégek oldalain is. Néhány kulcs a Google saját infrastruktúrájáról származott, és egyesek legalább 2023 februárja óta nyilvánosan hozzáférhetők voltak.
Pénzügyi visszaélés és véletlen jogosultságbővítés veszélye
Ezek az API-kulcsok most lehetővé teszik, hogy illetéktelenek lekérdezzék a Gemini MI modelljeit, privát adatokhoz jussanak, vagy pénzügyi visszaélést kövessenek el: egy támadó több száz vagy akár több ezer dollárnyi (azaz több százezer forintnyi) költséget is generálhat naponta a semmit sem sejtő áldozat számláján.
Google lépései és fejlesztői teendők
A Google időközben értesült a problémáról, és együttműködik a kutatókkal a megoldáson. Már bevezette, hogy az új AI Studio-kulcsok alapértelmezetten csak a Geminire legyenek érvényesek, a kiszivárgott kulcsokat letiltják, a fejlesztőket pedig figyelmeztetik a potenciális szivárgásokról. A fejlesztőknek sürgősen ellenőrizniük kell, hogy projektjeikben engedélyezve van-e a Gemini MI, vizsgálják meg minden használt API-kulcs nyilvánosságát, és azonnal cseréljék a gyanús vagy kiszivárgott kulcsokat. Szintén célszerű biztonsági eszközökkel átvizsgálni a kódot és a tárolókat élő kulcsok után kutatva.
🤓 Mark Hamill, akit a Csillagok háborúja (Star Wars) világából Luke Skywalkerként őrzünk emlékezetünkben, csatlakozik a Csavart fém (Twisted Metal) sorozat harmadik évadához...
A Firefox böngésző legfrissebb, 152-es verziója több fontos fejlesztést hoz. A leglátványosabb változás a teljesen átalakított beállítási felület, amely átláthatóbbá és egyszerűbben kezelhetővé teszi a böngésző személyre szabását...
🚀 A Samsung legújabb büszkeségei, a Galaxy Z Flip 7 és a Galaxy Z Fold 7 komoly szerepet kaptak a Pókember: Vadonatúj nap (Spider-Man: Brand New Day) című filmben...
🔬 Tokióban egy új MI-alapú vállalkozás, a Sakana AI dobta piacra a Marlint, első kereskedelmi termékét, amely forradalmasíthatja a vállalati kutatási jelentéseket...
Az amerikai kiberbiztonsági hivatal, a CISA háromnapos határidőt adott az állami szerveknek, hogy frissítsék a LiteSpeed cPanel felhasználói bővítményét, miután ismertté vált egy aktívan kihasznált sérülékenység, amellyel a szervereket támadják...
Ami először apróságnak tűnt, mára a Vénusz egyik legnagyobb rejtélyévé vált: a bolygó rendkívül lassú, ráadásul ellentétes irányú tengely körüli forgása...
Érdemes megvizsgálni, milyen kifinomult módszereket alkalmaznak a bűnözők, amikor eltüntetik rosszindulatú forgalmukat a védekezésre berendezkedett rendszerek elől...
A legtöbb viselhető kütyü a lépéseidet, a pulzusodat vagy a véroxigénszintedet méri, de most érkezett egy olyan eszköz, ami teljesen másra fókuszál: a bőröd egészségére és a napsugárzás követésére...
Megemlíthető, hogy az Nvidia, a világ egyik vezető chipgyártója, öt év után először ismét jelentős kötvénykibocsátásra készül: több mint 25 milliárd dollár (kb...
A SprySOCKS néven ismert kártékony szoftver elsőként Linux rendszereken tűnt fel, de a közelmúltban megjelentek Windows-változatai is, amelyek kormányzati szervezeteket céloznak több országban, köztük Tajvanban, Thaiföldön, Pakisztánban és Hondurasban...
Bár a legtöbb amerikai már nem igényli a szezonális COVID-19-oltásokat, a legújabb vakcinák továbbra is jelentős védelmet nyújtanak a szív- és érrendszeri megbetegedések ellen, különösen a 75 év felettieknek és a krónikus betegségben szenvedőknek...
🔒 A digitális egészségügyi szolgáltató iRhythm Holdings súlyos adatlopást jelentett be, miután hackerek érzékeny személyes és egészségügyi adatokat tulajdonítottak el a cég által használt külső üzleti alkalmazásokból...
🌍 Chile északi részén, a Föld egyik legszárazabb területén húzódik az Atacama-sivatag, amely évente átlagosan kevesebb mint 5 milliméter csapadékot kap...
Az idei év elején egy hatalmas, hat darab, egyenként 21 méter magas épületből álló adatközpont terveit ejtették Észak-Karolinában, miután a fejlesztőt szigorodó szabályok és a helyi lakosság tiltakozása miatt visszalépésre kényszerítették...
