Je Google Maps is nu in gevaar! Stille update lekt duizenden Gemini AI-toegangen
Een schokkende ontdekking door security-onderzoekers werpt een donkere schaduw over de AI-integratie van Google. Duizenden Google Cloud API-keys, die jarenlang als 'veilig' werden beschouwd om in de code van websites te verwerken, blijken door een automatische update plotseling volledige toegang te geven tot gevoelige Gemini AI-data en bedrijfsbudgetten.
Het gaat hierom: jarenlang adviseerde Google developers om API-keys voor diensten zoals Google Maps of YouTube-embeds gewoon in de publieke JavaScript-code van hun website te plaatsen. Dit werd gezien als een onschadelijk 'billing-id'. Maar door de introductie van Gemini is die aanname nu levensgevaarlijk geworden.
De 'Stille' Privilege-escalatie
Onderzoekers van TruffleSecurity ontdekten dat zodra een organisatie de Generative Language API (Gemini) activeert binnen een Google Cloud-project, álle bestaande keys in dat project automatisch ook Gemini-rechten krijgen. Er is geen waarschuwing, geen pop-up en geen bevestiging nodig.
De cijfers liegen niet: bij een scan van publieke webdata werden meer dan 2.800 live keys gevonden die direct toegang gaven tot Gemini-omgevingen.
Onder de slachtoffers bevinden zich grote financiële instellingen, internationale recruitmentbureaus en opvallend genoeg zelfs infrastructuur van Google zelf.
Wat een hacker kan met jouw 'Maps-key'
In de handen van een kwaadwillende is een gelekte key nu veel meer dan een manier om gratis kaartjes te tonen. Aanvallers kunnen:
- Gevoelige data inzien: Via de /files en /cachedContents endpoints van de Gemini API kunnen hackers direct bij bestanden die door werknemers naar de AI zijn geupload voor analyse.
- Financiële ravage aanrichten: Omdat AI-modellen rekenen met 'tokens', kan een botnet binnen enkele uren tienduizenden dollars aan kosten genereren op de rekening van het slachtoffer door massaal complexe prompts te sturen.
- Quota-diefstal: Door de API-limieten van een bedrijf op te souperen, kunnen legitieme AI-diensten van dat bedrijf volledig platgelegd worden.
"Niemand heeft ons gewaarschuwd"
De frustratie in de developer-community is groot. De kern van het probleem is dat de architectuur van Google Cloud-keys niet is veranderd, maar de reikwijdte ervan wel.
Een key die drie jaar geleden is aangemaakt voor een simpel kaartje op een contactpagina, is nu plotseling een volwaardig AI-referentiebewijs.
Google heeft inmiddels gereageerd en stelt dat ze proactief bekende gelekte keys blokkeren voor Gemini-toegang. Toch blijft de bron van het probleem bestaan: de standaardinstelling voor nieuwe keys is nog steeds 'onbeperkt', waardoor ze direct geldig zijn voor elke geactiveerde dienst in een project.
Check je eigen project
Het advies aan Nederlandse bedrijven en developers is glashelder: controleer direct in de Google Cloud Console of de Generative Language API aanstaat en audit alle API-keys.
Als een key publiek staat, moet deze strikt beperkt worden tot uitsluitend de noodzakelijke dienst (zoals Maps), of onmiddellijk worden vernieuwd (rotation).
Ga verder met lezen
Dit vind je misschien ook leuk
Laat mensen jouw mening weten
Lees ook
Populair Nieuws
Loading
