Penelitian Aikido Temukan Kunci API Google Masih Bisa Digunakan Hingga 23 Menit Setelah Dihapus
Jika kamu berpikir bahwa menghapus kunci API Google akan membuatnya tidak bisa digunakan lagi secara instan, siap-siap kaget. Peneliti dari Aikido menemukan fakta mengejutkan: pengguna masih bisa mengautentikasi hingga 23 menit setelah penghapusan. Ini tentunya menjadi celah besar yang sangat berisiko dan kesempatan emas bagi pelaku ancaman.
Yang paling bikin khawatir adalah pengguna hampir tak punya cara untuk mengetahui kapan jendela autentikasi tersebut ditutup. Dan juga tidak ada yang bisa dilakukan untuk mempercepat proses tersebut. Jendela waktu yang tidak pasti ini jelas bikin banyak orang merasa was-was.
“Pernyataan Palsu”
Dalam laporannya, Aikido melakukan 10 percobaan dalam dua hari, menciptakan dan menghapus kunci API sambil mengirim 3-5 permintaan terautentikasi per detik untuk mengukur jendela pencabutan. Hasil yang mereka dapatkan sangat tidak konsisten: jendela terpanjang mencapai 23 menit, sedangkan yang terpendek hanya 8 menit.
Keberhasilan autentikasi ini pun beragam, dengan satu percobaan menunjukkan 79% dari permintaan berhasil satu menit setelah penghapusan, sementara yang lain hanya 5%. Masalahnya semakin parah untuk proyek-proyek dengan Gemini yang aktif. Aikido menekankan, pelaku ancaman bisa dengan mudah mengakses file yang diunggah dan mengekstrak percakapan yang tersimpan menggunakan kunci yang seharusnya sudah dihapus.
Laporan ini mengkritik Google karena antarmuka pengguna yang menyesatkan, yang mengatakan kepada pengguna yang telah menghapus kunci, “Setelah dihapus, kunci tidak dapat lagi digunakan untuk melakukan permintaan API.” Pernyataan tersebut dinyatakan tidak benar oleh Aikido, yang mengatakan, “Pengguna tidak memiliki cara untuk mengetahui apakah kunci masih aktif, tidak ada cara untuk mempercepat pencabutan, dan tidak ada cara untuk mengonfirmasi kapan kunci tersebut benar-benar berhenti berfungsi.”
Google merespons pengumuman Aikido dengan menutup laporan tersebut dan menyatakan tidak akan ada perbaikan. “Posisi tim, seperti yang kami pahami, adalah bahwa penundaan propagasi adalah sifat yang diketahui dari sistem dan bukan masalah keamanan,” kata laporan itu.
Walaupun tidak ada solusi atau cara alternatif, Aikido menawarkan mitigasi. Menghapus kunci sebaiknya diperlakukan sebagai proses selama 30 menit, dan selama jendela waktu ini, pengguna seharusnya memantau “API dan layanan yang diaktifkan” di konsol GCP untuk penggunaan yang tidak terduga dari kredensial yang sudah dihapus.
