Google API কীগুলি মুছে ফেলার পরে সক্রিয় থাকে – স্ল্যাশডট

Aikido সিকিউরিটি খুঁজে পেয়েছে যে মুছে ফেলা Google API কীগুলি গড়ে 16 মিনিট এবং 23 মিনিট পর্যন্ত প্রমাণীকরণ চালিয়ে যেতে পারে, যদিও Google Cloud UI বলে যে একবার একটি কী মুছে ফেলা হলে এটি আর API অনুরোধ করতে পারবে না। ডার্ক রিডিং রিপোর্ট: জো লিওন, বেলজিয়ান স্টার্টআপ আইকিডো সিকিউরিটির একজন গবেষক, সম্প্রতি ক্লাউড জায়ান্টের এপিআই কীগুলির জন্য – একটি কী মুছে ফেলা এবং এর শেষ সফল প্রমাণীকরণের মধ্যে সময় – প্রত্যাহার উইন্ডোটি বিশ্লেষণ করেছেন৷ আজ প্রকাশিত একটি ব্লগ পোস্টে, লিওন বলেছেন যে গুগল ক্লাউড প্ল্যাটফর্ম (জিসিপি) গ্রাহকরা কী অপসারণের সাথে সাথেই API অ্যাক্সেস শেষ হয়ে যাবে বলে আশা করেন, তবে এটি এমন নয়। একাধিক পরীক্ষায়, লিওন দেখতে পান যে গড় প্রত্যাহার উইন্ডোটি ছিল প্রায় 16 মিনিট, যেখানে দীর্ঘতম উইন্ডোটি 23 মিনিট পর্যন্ত ছিল, API কীগুলি সফলভাবে প্রমাণীকরণ চালিয়ে যাওয়ার জন্য “অবিশ্বাস্যভাবে দীর্ঘ সময়”, তিনি বলেছিলেন।

এবং এই উইন্ডোগুলির সংগঠনগুলির জন্য গুরুতর প্রতিক্রিয়া রয়েছে৷ “একজন আক্রমণকারী যার কাছে আপনার চাবিটি সরানো হয়েছে সে অনুরোধ পাঠানো চালিয়ে যেতে পারে যতক্ষণ না কেউ একটি পুরানো সার্ভারে না পৌঁছায়। যদি প্রকল্পে জেমিনি সক্ষম করা থাকে, তাহলে এটি আপনার আপলোড করা ফাইলগুলিকে ডাম্প করতে পারে এবং ক্যাশে করা কথোপকথনগুলি ফাঁস করতে পারে,” লিওন বলেন। “GCP কনসোল কীটি দেখাবে না এবং আপনাকে বলবে যে কীটি এখনও কাজ করছে। আপনি শেষ পর্যন্ত ধরার জন্য Google এর পরিকাঠামোর উপর নির্ভর করছেন।”

[…] লিওন ডার্ক রিডিংকে বলে যে Google এর API কী প্রত্যাহার উইন্ডো, সেইসাথে অপ্রত্যাশিত প্রমাণীকরণ সাফল্যের হার, সম্ভাব্য লঙ্ঘনের সাথে মোকাবিলাকারী ঘটনার প্রতিক্রিয়া দলগুলির জন্য জিনিসগুলিকে জটিল করে তোলে। “এটি ফাঁস হওয়া শংসাপত্রগুলির প্রতিক্রিয়া করার সময় আইআর টিমের মানসিক মডেলটিকে ভেঙে দেয়,” তিনি বলেছেন। “আপনি যখন ‘সরান’ বা ‘প্রত্যাহার করুন’ ক্লিক করেন তখন শংসাপত্রটি আর কাজ করবে না বলে মনে করা হয়। এখন IR টিমদের মনে রাখা দরকার যে GCP শংসাপত্রের জন্য, একটি উইন্ডো আছে যখন সেই ‘মুছে ফেলা’ শংসাপত্রটি এখনও আক্রমণকারীদের জন্য কাজ করে।”

এটি করার জন্য, Aikido নিরাপত্তা দল এবং IR কর্মীদের Google API কীগুলি সরাতে 30-মিনিটের উইন্ডো ব্যবহার করার পরামর্শ দিয়েছে। এছাড়াও, সংস্থাগুলিকে GCP কনসোলের “অ্যাক্টিভেটেড API এবং পরিষেবা” অংশের মাধ্যমে শংসাপত্রের মাধ্যমে তাদের API অনুরোধগুলি পর্যবেক্ষণ করা উচিত এবং শংসাপত্রগুলির দ্বারা API অনুরোধগুলি পর্যালোচনা করা উচিত। “আপনি যদি মুছে ফেলার পরে সেই শংসাপত্রের অপ্রত্যাশিত ব্যবহার দেখেন, কেউ সক্রিয়ভাবে এটিকে কাজে লাগাতে পারে,” লিওন লিখেছেন। Aikido ফলাফলগুলি Google-কে রিপোর্ট করেছে, কিন্তু ব্লগ পোস্ট অনুসারে কোম্পানি রিপোর্টটি বন্ধ করে দিয়েছে কারণ এটি “ঠিক হবে না”।