كشف باحثون في شركة Aikido Security أن بعض مفاتيح Google API المحذوفة قد تظل قادرة على المصادقة وتنفيذ الطلبات لمدة تصل إلى 23 دقيقة بعد حذفها، وهي نتيجة تثير تساؤلات عملية حول كفاءة إجراءات الاستجابة الفورية عند تسرب المفاتيح أو إساءة استخدامها.
أظهرت اختبارات الباحثين أن حذف المفتاح من واجهة Google Cloud لا يعني بالضرورة توقفه الفوري عن العمل؛ إذ سجلت التجارب نجاح عمليات مصادقة بعد الحذف بمدة قصوى بلغت 23 دقيقة، وبمتوسط يقارب 16 دقيقة عبر عشر تجارب أجريت خلال يومين.
نافذة استغلال بعد الحذف
تنبع أهمية هذه النتيجة من كون مفاتيح Google API تتيح الوصول إلى خدمات متعددة، بدءاً من Google Maps وصولاً إلى Gemini، وذلك بحسب الخدمات المفعلة في المشروع. وفي حال تسرب المفتاح، يمكن للمهاجم استغلاله لإرسال طلبات، أو استهلاك موارد مدفوعة، أو الوصول إلى بيانات مرتبطة بالخدمة إذا كانت الصلاحيات والتهيئة تسمح بذلك.
وأوضحت Aikido Security في منشورها الأصلي أن فريقها أنشأ مفاتيح API ثم حذفها، واستمر في إرسال طلبات مصادقة متكررة حتى توقفت الاستجابات الناجحة. وخلصت الاختبارات إلى أن تأخر الإبطال ليس مرتبطاً بخدمة واحدة فقط، حيث لاحظت الشركة السلوك نفسه مع مفاتيح مهيأة لخدمات مثل BigQuery وMaps، وليس حكراً على المفاتيح المستخدمة للوصول إلى Gemini.
ويرتبط هذا السلوك، وفق التحليل المنشور، بطبيعة الأنظمة الموزعة التي تعتمد على مفهوم الاتساق اللاحق، حيث لا تنتشر التغييرات وتتحدث في جميع الخوادم في اللحظة نفسها. غير أن حساسية هذا النمط ترتفع عندما يتعلق الأمر ببيانات اعتماد تُستخدم للمصادقة، لأن أي تأخير في الإبطال قد يمنح جهة غير مصرح لها وقتاً إضافياً للاستفادة من المفتاح المسرب.
مقارنة مع أنواع مفاتيح أخرى
أشارت النتائج إلى أن Google تمتلك آليات إبطال أسرع في أنواع أخرى من بيانات الاعتماد؛ فقد وجدت Aikido Security أن إبطال مفاتيح حسابات الخدمة في Google يتم في غضون خمس ثوانٍ تقريباً، بينما تستغرق صيغة أحدث من مفاتيح Gemini API نحو دقيقة واحدة. ويعزز ذلك، بحسب الباحثين، الرأي القائل إن تقليص نافذة الإبطال ممكن تقنياً، حتى في البنى السحابية واسعة النطاق.
ونقلت تقارير متخصصة أن Google تعاملت مع هذه المسألة بوصفها خاصية معروفة وطبيعية في النظام، وليست ثغرة أمنية مستقلة، وفق ما أورده الباحثون. ونظراً لعدم إشارة التقرير إلى أي تغيير فوري في آلية الحذف، فإن الإجراء التشغيلي الأهم للمستخدمين حالياً هو افتراض أن عملية الحذف لا توقف المفتاح بشكل فوري.
دلالات على فرق الأمن والاستجابة
بالنسبة إلى فرق الأمن، تعني هذه النتائج أن حذف المفتاح المسرب يجب ألا يكون نهاية مطاف عملية الاحتواء؛ فالنهج الأكثر تحفظاً يتطلب التعامل مع حذف مفاتيح Google API كعملية ممتدة تستغرق نحو 30 دقيقة، مع ضرورة مراقبة الاستخدام داخل Google Cloud Console خلال هذه الفترة، وتحديداً في صفحة الخدمات المفعلة ومؤشرات استهلاك واجهات API.
كما تبرز الحاجة إلى تقليل الأثر المحتمل مسبقاً وقبل وقوع الحوادث، وذلك عبر تقييد المفاتيح بالخدمات وعناوين IP أو التطبيقات المطلوبة فقط، وتجنب استخدام مفاتيح عامة غير مقيدة في الواجهات الأمامية، بالإضافة إلى مراجعة المشاريع القديمة التي قد تحتوي على مفاتيح أُنشئت قبل إدخال خدمات جديدة مثل Gemini.
ولا تغير هذه النتائج من القواعد الأساسية الراسخة في إدارة الأسرار الرقمية، والتي تشمل تدوير المفاتيح بسرعة عند الاشتباه في تسربها، وتعطيل الخدمات غير الضرورية، وتفعيل التنبيهات المالية والتشغيلية. لكنها تضيف تفصيلاً مهماً إلى إجراءات الاستجابة للحوادث، وهو أن نافذة ما بعد الحذف قد تكون كافية لإحداث أثر مالي أو أمني إذا كان المفتاح قد وقع بالفعل في يد مهاجم نشط.
