Um consultor de inteligência artificial (IA) da Austrália teve A$ 25.672,86 (dólar australiano), cerca de R$ 91.237,24, cobrados em sua fatura do Google Cloud após um invasor explorar um serviço Cloud Run.
E, não. Não foi um caso de simples negligência por parte do usuário. A situação aconteceu mesmo com orçamento configurado para A$ 10 e múltiplas camadas de segurança ativas na conta.
Aos que estão por fora, uma breve contextualização: Jesse Davies, fundador da Agentic Labs e consultor de IA na Austrália, acordou no início deste mês com uma notificação de cobrança que ultrapassava em mais de 2.500x (vezes) o limite de orçamento estabelecido para sua conta do Google Cloud.
Davies mantinha práticas de segurança robustas para seu ambiente no Google AI Studio. A configuração incluía chaves de API separadas por projeto, contas de cobrança divididas, autenticação de dois fatores ativa e registros de auditoria do Cloud habilitados.
O conjunto de medidas, contudo, foi contornado por uma única vulnerabilidade no ecossistema de serviços do Google Cloud.
Como um serviço inativo do Cloud Run permitiu o acesso não autorizado
O incidente teve origem em um serviço do Cloud Run que Davies havia publicado meses antes por meio do AI Studio. O invasor não precisou roubar credenciais ou interceptar chaves de API para executar a ação.
Bastou localizar a URL pública do serviço, que permanecia acessível, embora não estivesse indexada em mecanismos de busca nem compartilhada em qualquer canal.
A partir desse ponto, o próprio proxy do Google Cloud assinou cada requisição feita ao serviço (por parte do invasor) utilizando a chave de API armazenada como variável de ambiente em texto simples dentro do contêiner do Cloud Run.
A arquitetura do sistema validou as chamadas do criminoso como se fossem legítimas, sem acionar nenhum mecanismo de contenção.
Atualização automática de tier removeu teto de proteção durante o ataque
A conta de Davies operava inicialmente no Tier 2 do Google Cloud, categoria que impõe um limite de gastos de US$ 2.000. Portanto, em tese, ele estaria seguro, certo? Errado…
Durante a madrugada do incidente, quando o volume de cobranças ultrapassou o patamar de US$ 1.000, o sistema da Google realizou uma promoção automática para o tier seguinte sem emitir qualquer notificação ao titular da conta.
O novo nível, oferecido promocionalmente ao invasor, elevou o teto de gastos para uma faixa entre US$ 20.000 e US$ 100.000.
A funcionalidade de escalonamento automático tem como propósito permitir que serviços cresçam sem interrupções por bloqueios de cobrança.
No contexto de um ataque, contudo, o mecanismo aumenta ainda mais o prejuízo financeiro ao remover a única barreira que poderia ter interrompido as cobranças ainda na casa dos milhares de dólares.
Quando o alerta de orçamento finalmente chegou na manhã seguinte, A$ 10.000 (~ R$ 35.538,40) já haviam sido debitados do cartão de crédito de Davies, que passou a operar com saldo insuficiente para outras transações.
Enquanto ele ainda aguardava retorno do suporte do Google, mais A$ 15.000 (~ R$ 53.307,60) foram processados na mesma conta.
Nove recursos de segurança estavam desativados por padrão
Davies identificou posteriormente 9 funcionalidades de segurança do Google Cloud que, se ativas, poderiam ter bloqueado ou mitigado o incidente. Todas estavam desativadas nas configurações padrão da plataforma.
A descoberta adiciona uma camada de complexidade ao já problemático caso, pois indica que mesmo usuários com conhecimentos técnicos avançados podem estar expostos a brechas que dependem de configurações manuais não documentadas de forma adequada.
O contato com o suporte humano do Google Cloud levou vários dias para ser estabelecido. A cobrança foi posteriormente cancelada pela empresa e as transações que chegaram a ser processadas foram estornadas pela instituição financeira de Davies.
O episódio, porém, ainda não está totalmente encerrado. Uma reunião com gerentes do Google está agendada para discutir os detalhes do caso e as falhas de sistema que permitiram sua ocorrência.
Outros usuários relatam cobranças de até US$ 128 mil em fóruns especializados
Davies compartilhou seu relato no subreddit r/googlecloud e questionou outros usuários sobre experiências semelhantes. As respostas confirmaram um padrão de incidentes envolvendo cobranças desproporcionais associadas a APIs do Google Cloud.
Um usuário do Japão descreveu ter recebido uma fatura inicial de US$ 44.000 (~ R$ 218.468,80) que continuou crescendo até atingir US$ 128.000 (~ R$ 635.545,60) mesmo após a pausa manual da API.
No mês anterior ao caso de Davies, outro incidente documentado envolveu o uso indevido de uma chave de API que resultou em US$ 82.314,44 (~ R$ 408.707,66) em cobranças acumuladas, e tudo isso em uma conta cujo consumo mensal habitual girava em torno de US$ 180 (~ R$ 893,74).
Leia mais
- Darth Vader com Inteligência Artificial chega em Fortnite; responde e joga com você
- Metade dos centros de dados planejados para os EUA em 2026 não vai ser finalizada
- “DLSS 5 é só filtro de Inteligência Artificial”, afirma youtuber após conversa com representante da NVIDIA
Formato único de chave de API e ativação do Gemini aumentam alcance de ataque
A empresa de segurança cibernética Truffle Security Co. já havia sinalizado anteriormente os riscos estruturais relacionados ao formato unificado de chave de API utilizado pelo Google Cloud.
Essas chaves funcionavam originalmente apenas como identificadores de projeto. A partir do momento em que a API Gemini é ativada em qualquer projeto do Google Cloud, essas mesmas chaves são convertidas automaticamente em credenciais válidas para o modelo de IA generativa.
A conversão silenciosa significa que qualquer pessoa com acesso à chave pode gerar chamadas à API Gemini e acumular cobranças de uso de IA na conta do titular do projeto.
O mecanismo permanece ativo a menos que políticas mais restritivas sejam implementadas pelo Google em relação à ativação do Gemini e ao gerenciamento de credenciais legadas.
E aí? Qual é a sua opinião sobre a situação? Compartilhe o seu ponto de vista e continue acompanhando o Adrenaline!
Fonte: Tom’s Hardware
