Kunci API Google Bocor di 22 Aplikasi, Peretas Akses Gemini AI Gratis dan Picu Kerugian Finansial Masif
Baca dalam 60 detik
- Peretas memanfaatkan kelemahan sistem di mana kunci API Google publik yang dulunya digunakan untuk layanan seperti Maps, kini secara otomatis dapat memberikan akses untuk menggunakan Gemini AI secara gratis dan tanpa batas.
- Peneliti CloudSEK menemukan ada 32 kunci API yang terekspos di 22 aplikasi Android dengan lebih dari 500 juta pengguna (termasuk OYO dan Google Pay for Business), yang memicu kerugian finansial masif bagi para pengembang.
- Karena tagihan pemakaian AI dibebankan kepada pemilik kunci, banyak pengembang dan startup tiba-tiba menerima tagihan raksasa (berkisar antara puluhan hingga ratusan ribu dolar) hanya dalam hitungan jam atau menit.
Para pengembang perangkat lunak kini tengah menghadapi krisis finansial yang parah akibat tereksposnya kunci API Google di aplikasi publik. Celah keamanan ini dieksploitasi oleh peretas untuk mengakses layanan Gemini AI secara bebas, yang pada akhirnya membebankan tagihan hingga ratusan ribu dolar kepada para pengembang yang menjadi korban.
Fakta Kunci Kebocoran API Gemini AI:
- Akar Masalah: Kunci API publik yang tadinya hanya ditujukan untuk layanan dasar seperti Google Maps atau Firebase secara tidak sengaja mendapatkan peningkatan izin akses (elevation) menjadi kredensial aktif untuk infrastruktur Gemini AI.
- Skala Terdampak: Peneliti keamanan dari CloudSEK menemukan 32 kunci API Google yang terekspos di 22 aplikasi Android populer—termasuk OYO, Google Pay for Business, Taobao, dan ELSA Speak—dengan total basis instalasi melebihi 500 juta pengguna.
- Bukan Kelalaian Pengembang: Praktik penanaman kredensial (hardcoded) di aplikasi ini sebenarnya telah mematuhi pedoman resmi Google di masa lalu. Namun, pengembang tidak menyadari bahwa kunci lama tersebut kini secara otomatis memberi akses ke alat AI tanpa adanya pemberitahuan atau persetujuan (opt-in).
Eksploitasi ini memungkinkan penyerang untuk melakukan panggilan API Gemini tanpa batas, mengakses data sensitif pengguna (seperti file audio di aplikasi ELSA Speak yang berhasil diakses oleh peneliti), serta menguras habis kuota API organisasi. Buruknya lagi, karena adanya kelambatan pelaporan pada sistem penagihan Google Cloud, lonjakan tagihan raksasa sering kali sudah terjadi sebelum pengembang sempat menerima peringatan dan mencabut (revoke) kunci tersebut.
"Masalah ini tidak bermula dari kelalaian pengembang; implementasi mereka telah sesuai dengan pedoman yang ditetapkan Google... Arsitektur tersebut secara efektif mengubah pengidentifikasi non-sensitif menjadi token otentikasi, menciptakan kerentanan sistemik di banyak aplikasi," jelas Tuhin Bose, peneliti keamanan siber di CloudSEK.
Dampak Finansial Nyata bagi Pengembang
Kerentanan infrastruktur ini telah menghancurkan finansial banyak startup dan tim pengembang independen di berbagai negara. Berikut adalah beberapa kasus kerugian masif yang tercatat:
| Korban Target | Total Kerugian Tagihan AI | Keterangan Kejadian |
|---|---|---|
| Pengembang Solo (Startup) | $15.400 | Tagihan membengkak hanya dalam beberapa menit akibat banjir permintaan inferensi oleh peretas. Hal ini hampir membuat perusahaannya bangkrut meskipun ia sudah mencabut kunci API sesaat setelah peringatan tagihan muncul. |
| Perusahaan di Jepang | ~$128.000 | Mengalami penggunaan API Gemini secara tidak sah dengan nominal fantastis, meskipun mereka telah menerapkan pembatasan IP secara ketat di tingkat firewall. |
| Tim Pengembang di Meksiko | $82.314 | Melihat lonjakan tagihan yang sangat dramatis hingga 455 kali lipat dari pengeluaran normal harian mereka, hanya dalam kurun waktu 48 jam saja. |
Kasus ini menjadi peringatan keras bagi industri teknologi mengenai risiko asumsi kompatibilitas ke belakang (backward compatibility) pada layanan komputasi awan yang kini terintegrasi dengan teknologi AI. Pengembang disarankan untuk segera mengevaluasi ulang manajemen kunci API dan membatasi izin proyek (project permissions) mereka guna mencegah terjadinya eksploitasi serupa.
