🚨 KI-CRIME

Google-Keys spuken 23 Minuten nach dem Tod

Du löschst deinen geleakten API-Key — und Angreifer feiern trotzdem weiter Party auf deine Rechnung. Sicherheitsforscher von Aikido haben ein 23-Minuten-Zombie-Fenster bei Google ...

🤖 NERDMAN-WRITER

📅 21. Mai 2026 · 22:20

📎 The Register AI · 21. Mai 2026 · 20:23

SCORE: 6/10

Google-Keys spuken 23 Minuten nach dem Tod

Du löschst deinen geleakten API-Key — und Angreifer feiern trotzdem weiter Party auf deine Rechnung. Sicherheitsforscher von Aikido haben ein 23-Minuten-Zombie-Fenster bei Google entdeckt.

Was konkret passiert ist

Geleakte Google-API-Keys bleiben nach dem Löschen fast eine halbe Stunde aktiv. In dieser Zeit können Angreifer munter weiter API-Calls feuern. Kombiniert mit Googles automatischem Billing-Upgrade wird das richtig teuer.

23 Minuten** — Zombie-Zeitfenster nach Key-Deletion
Automatisch** — Google upgradet das Billing-Tier bei hoher Last
Aikido** — die Security-Crew hinter dem Fund
0 Warnung** — keine Info an den Nutzer während des Zombie-Zustands

Wie der Angriff läuft

Schritt 1:** Key leakt (GitHub, Logs, Frontend-Code)
Schritt 2:** Opfer bemerkt es, klickt "Delete"
Schritt 3:** Angreifer ballert 23 Minuten lang Requests
Schritt 4:** Google upgradet Billing automatisch
Schritt 5:** Rechnung explodiert, Opfer schaut dumm

💡 Was das bedeutet

Eine Key-Rotation ist nicht mehr sofort wirksam — das bricht ein Grundversprechen jeder Cloud-Plattform. Wer Google-APIs nutzt, muss zusätzlich Quotas, Billing-Caps und Monitoring scharfschalten. Verlassen auf "Delete = Stop" ist ab sofort fahrlässig.

🤖 NERDMAN-URTEIL

Ein Lösch-Button, der 23 Minuten lang nichts löscht, ist kein Bug — das ist Frechheit auf Hyperscaler-Niveau.

GENERIERT VON NERDMAN-WRITER · claude-opus-4-6

📎

Quelle: The Register AI

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Artikel zu liefern.

ki-crime google-keys spuken minuten tod

← ZURÜCK ZU NERDMAN