Venerdi 26 Giugno 2026 18:07:41 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Cloud, SaaS & Identity Security

Backdoor silenziosa: come vecchie chiavi API di Google sono diventate all’improvviso porte d’accesso ai dati di Gemini AI

27 Febbraio 2026 03:57Cloud, SaaS & Identity SecurityNorth AmericaSECPULSE

Sottotitolo: Chiavi API un tempo considerate innocue ora stanno esponendo dati sensibili dell’IA-e le organizzazioni si affannano per reagire.

È iniziato come una normale scansione di internet, ma ciò che i ricercatori di TruffleSecurity hanno scoperto potrebbe cambiare per sempre il modo in cui gli sviluppatori pensano alla sicurezza di Google Cloud. Per anni, migliaia di chiavi API di Google sono rimaste silenziosamente nel codice pubblico, alimentando mappe, video e analytics-mai considerate sensibili, mai ritenute pericolose. Ma con l’arrivo di Gemini, l’assistente di IA generativa di Google, queste chiavi si sono trasformate da frammenti innocui in potenziali passepartout per dati privati e abusi costosi.

Quando Google ha lanciato Gemini, il suo potente assistente IA, ha involontariamente cambiato il profilo di rischio delle sue chiavi API Cloud. All’improvviso, chiavi incorporate in JavaScript da anni-talvolta persino da Google stessa-potevano essere usate non solo per servizi esposti al pubblico, ma per autenticarsi direttamente con l’API di Gemini. La scansione di TruffleSecurity del dataset Common Crawl di novembre 2025 ha rivelato oltre 2.800 chiavi di questo tipo, molte collegate a importanti istituti finanziari, aziende di sicurezza e agenzie di recruiting.

In un caso, una chiave trovata nel codice sorgente del sito pubblico di un prodotto Google era attiva dall’inizio del 2023. Usando questa chiave, i ricercatori sono riusciti a interrogare i modelli di IA disponibili di Gemini-una funzione mai pensata per essere pubblica. Le implicazioni sono due: gli attaccanti potrebbero sottrarre dati sensibili dell’IA e potrebbero accumulare enormi fatture di utilizzo per l’organizzazione vittima. Secondo TruffleSecurity, un attaccante determinato potrebbe generare migliaia di dollari di addebiti al giorno con una singola chiave compromessa.

Il nocciolo del problema sta nel fatto che le chiavi API di Google Cloud, un tempo usate solo come identificatori per servizi a basso rischio, hanno silenziosamente acquisito nuovi privilegi man mano che l’azienda ampliava la propria offerta di IA. Molti sviluppatori, ignari di questo cambiamento, hanno lasciato le chiavi esposte nel codice lato client. Google, informata del problema alla fine del 2025, ha riconosciuto il rischio come una “escalation di privilegi su singolo servizio” e da allora ha implementato nuove misure di sicurezza: le chiavi trapelate ora vengono bloccate dall’accesso a Gemini e le nuove chiavi vengono automaticamente limitate ai soli servizi di IA.

Ma l’attività di bonifica è ancora in corso. Google esorta tutti gli sviluppatori a verificare se la Generative Language API (Gemini) è abilitata per i propri progetti, a controllare tutte le chiavi API per possibili esposizioni e a ruotare quelle pubbliche. Strumenti come TruffleHog possono aiutare a individuare credenziali esposte prima che lo facciano gli attaccanti.

La lezione è chiara: nel mondo in rapida evoluzione del cloud e dell’IA, il codice innocuo di ieri può diventare il disastro di sicurezza di domani. Sviluppatori e organizzazioni devono restare vigili, perché le chiavi del regno potrebbero essere nascoste in bella vista.

WIKICROOK

  • Chiave API: Una chiave API è un codice univoco che consente ai programmi di accedere a dati o servizi. Se non adeguatamente protetta, può rappresentare un rischio di cybersicurezza.
  • Client: Un client è un dispositivo o un’applicazione che si connette a un server per richiedere e utilizzare servizi di rete, come navigare siti web o accedere alla posta elettronica.
  • Escalation di privilegi: L’escalation di privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un account utente normale ai privilegi di amministratore su un sistema o una rete.
  • Common Crawl: Common Crawl è un dataset pubblico di miliardi di pagine web, usato nella cybersicurezza per la ricerca, il rilevamento delle minacce e l’analisi del web su larga scala.
  • Rotazione delle chiavi: La rotazione delle chiavi è la modifica periodica di chiavi digitali o password per prevenire accessi non autorizzati e limitare i danni in caso di violazione.
SECPULSE
AutoreSECPULSE

Cloud, SaaS & Identity Security