Google क्लाउड सेवा, जिसका बजट दसियों डॉलर था, जाग गई और उस पर करोड़ों डॉलर का बकाया हो गया, सिर्फ इसलिए कि उसने एक साधारण सी गलती कर दी

ऑस्ट्रेलियाई कृत्रिम बुद्धिमत्ता सलाहकार जेसी डेविस को हाल ही में एक अपमानजनक घटना का सामना करना पड़ा:उन्होंने अपने Google क्लाउड खाते में केवल US$7 (लगभग RMB 50) का मासिक बजट निर्धारित किया था, लेकिन जब वह उठे तो उन्हें US$18,392 (लगभग RMB 132,400) का अत्यधिक बिल प्राप्त हुआ।पूरी लागत रातोंरात कुछ ही घंटों में एकत्र हो गई।

डेविस Google के AI विकास प्लेटफ़ॉर्म की सुरक्षा विशिष्टताओं से परिचित होने का दावा करता है। वह दैनिक आधार पर प्रत्येक प्रोजेक्ट के लिए एपीआई कुंजी कॉन्फ़िगर करता है, स्वतंत्र बिलिंग खातों को विभाजित करता है, और दो-कारक प्रमाणीकरण और क्लाउड ऑडिट लॉग चालू करता है।

हालाँकि, डेविस को पता चला कि हमलावर ने चाबियाँ चुराई नहीं थीं, बल्कि उसे क्लाउड होस्टिंग सेवा का एक सार्वजनिक लिंक मिला था जिसे उसने महीनों पहले पोस्ट किया था।भले ही सार्वजनिक लिंक को कभी भी बाहरी रूप से साझा नहीं किया गया है और खोज इंजन द्वारा अनुक्रमित नहीं किया गया है, फिर भी हैकर्स द्वारा इसका उपयोग किया गया और 60,000 से अधिक अनुरोध शुरू किए गए।

आधिकारिक Google एजेंट प्रोग्राम स्वचालित रूप से कंटेनर में स्पष्ट पाठ में संग्रहीत एपीआई कुंजी पर्यावरण चर को पढ़ेगा और प्रत्येक एक्सेस अनुरोध के लिए प्राधिकरण हस्ताक्षर को पूरा करेगा।

इसलिए, जब अगली सुबह बजट चेतावनी को आगे बढ़ाया गया, तो डेविस के क्रेडिट कार्ड से 6,881 अमेरिकी डॉलर (लगभग 47,000 युआन) डेबिट हो चुका था;Google ग्राहक सेवा के साथ संचार के दौरान, लगभग US$10,321 (लगभग 70,500 युआन) का अतिरिक्त शुल्क जोड़ा गया।

हालाँकि, Google क्लाउड में मूल रूप से नौ सुरक्षा सुविधाएँ थीं जो ऐसी घटनाओं को रोक सकती थीं, लेकिन वे सभी डिफ़ॉल्ट रूप से बंद थीं।

मामले को और भी बदतर बनाने के लिए, Google ने बिना किसी सूचना के डेविस के खाते को स्वचालित रूप से अपग्रेड कर दिया। खाते में मूल रूप से स्तर 2 की अनुमति थी, जिसकी खपत सीमा 2,000 अमेरिकी डॉलर (लगभग 14,400 युआन) थी।

जब असामान्य खपत US$1,000 (लगभग RMB 7,200) की सीमा से अधिक हो जाती है, तो सिस्टम स्वचालित रूप से स्तर बढ़ा देता है और उपभोग सीमा को सीधे US$20,000 से US$100,000 (लगभग RMB 144,000 से 720,000 RMB) तक शिथिल कर दिया जाता है।

सौभाग्य से, Google ने अंततः सभी बकाया माफ कर दिए, और बैंक ने काटे गए पैसे वापस कर दिए। डेविस ने सुरक्षा कमजोरियों पर चर्चा के लिए Google प्रबंधन के साथ एक बैठक निर्धारित की है।

ऐसी ही कई घटनाएं हैं. Google क्लाउड सामुदायिक फ़ोरम पर कई उपयोगकर्ताओं ने इसी तरह के अनुभवों की सूचना दी:

एक जापानी उपयोगकर्ता, जो सामान्य रूप से क्लाउड सेवाओं का उपयोग करता था, को बेवजह 44,000 अमेरिकी डॉलर (लगभग 316,800 युआन) का बिल भेजा गया। एपीआई इंटरफ़ेस को मैन्युअल रूप से बंद करने के बाद भी बिल बढ़कर 128,000 अमेरिकी डॉलर (लगभग 921,600 युआन) हो गया।

मार्च में, एक अन्य उपयोगकर्ता की एपीआई कुंजी का दुरुपयोग किया गया था, और दो दिनों के भीतर यूएस$82,314.44 (लगभग आरएमबी 592,700) का बिल चार्ज किया गया था, जबकि खाते की दैनिक मासिक खपत केवल यूएस$180 (लगभग आरएमबी 1,296) थी।

नेटवर्क सुरक्षा कंपनी ट्रफल सिक्योरिटी कंपनी ने चेतावनी दी है कि Google क्लाउड एक एकीकृत प्रारूप एपीआई कुंजी डिज़ाइन को अपनाता है, जिसका उपयोग मूल रूप से केवल प्रोजेक्ट पहचान कोडिंग के लिए किया जाता था।

एक बार जब प्रोजेक्ट बड़ी मॉडल इंटरफ़ेस सेवा खोलता है, तो पुरानी सामान्य कुंजी स्वचालित रूप से भुगतान किए गए प्राधिकरण प्रमाणपत्र में अपग्रेड हो जाएगी। कुंजी लीक होने के बाद, हमलावर क्लाउड सेवा बिलों को स्वाइप करने के लिए भुगतान इंटरफ़ेस पर कॉल कर सकता है।

यदि Google अभी भी एपीआई अनुमति नियमों को संशोधित नहीं करता है और सुरक्षा कमियों को ठीक नहीं करता है, तो ऐसी अत्यधिक शुल्क कटौती की घटनाएं होती रहेंगी।