Один із постраждалих розробників поділився деталями інциденту на Reddit. Згідно з дописом, API-ключ Google Cloud був скомпрометований у період між 11 та 12 лютого. Зловмисники здебільшого використовували його для доступу до сервісів Gemini 3 Pro Image та Gemini 3 Pro Text.
Читайте также: Суд відмовився призупинити примусове стягнення штрафу PlayCity на 4,8 млн грн з Instagram-блогерки Русалочки XL
Зазвичай щомісячні витрати стартапа на ШІ-сервіси становили близько $180, проте несанкціоноване використання призвело до появи рахунку на суму $82 314,44. Розробники зазначають, що працювали в умовах обмеженого бюджету, сподіваючись, що їхній продукт з часом стане прибутковим. Вони побоюються, що навіть якщо їх змусять сплатити лише третину від цієї суми, такі витрати все одно можуть призвести бізнес до банкрутства.
Представник Google Маунтін-В’ю заявив, що клієнти, які використовують сервіси генеративного ШІ, несуть відповідальність за захист власних облікових даних згідно з Моделлю спільної відповідальності платформи. Відповідно до цієї структури, користувачі мають впроваджувати належні заходи безпеки, оскільки постачальники послуг не беруть на себе відповідальність за зловживання, що виникли внаслідок компрометації ключів автентифікації.
Розробники заявили, що не вважають свою операційну помилку «очевидною». Виявивши компрометацію ключа, вони спробували захистити свою систему: видалили відкриті ключі, вимкнули доступ до Google Gemini API та активували двофакторну автентифікацію для всіх облікових записів. Вони також відкрили тікет у службі підтримки Google, проте повідомляють, що досі не отримали жодного дієвого рішення.
Один із розробників на Reddit додав, що хмарні провайдери мають впроваджувати надійніші механізми захисту від аномальних рахунків. Він запропонував платформам автоматично зупиняти роботу сервісів або вимагати підтвердження оплати, коли витрати досягають критичних порогів, зауваживши, що наразі механізми обов’язкового підтвердження під час раптових стрибків трафіку відсутні.
«Стрибок зі $180 на місяць до $82 тисяч за 48 годин — це не „природне коливання“. Це очевидне зловживання», — заявив айтівець.
Мексиканська команда звернулася за порадою до онлайн-спільноти розробників. Деякі фахівці застерегли від надмірного покладання на ресурсомісткі сервіси, такі як API генеративного ШІ сімейства Gemini. Також з’явилися суперечливі твердження щодо того, чи не завантажили самі розробники скомпрометований ключ у публічні репозиторії (наприклад, GitHub) — цей момент є ключовим для «Моделі спільної відповідальності», на якій наголошує Google. Згодом розробники заперечили твердження про те, що ключ був залишений у відкритому доступі навмисно.
До впровадження сучасних методів автентифікації в сервісах генеративного ШІ деякі застарілі системи API вважалися вразливішими до зламів. Розробники переконані, що цей випадок допоможе привернути увагу до ширших проблем безпеки та захисту білінгу в середовищах хмарних обчислень. За наявною інформацією, вони також подали скаргу до Федерального бюро розслідувань (ФБР).
Читайте также: Microsoft готує новий рівень підписки для цифрових працівників — ШІ-агентів