Brecha de Segurança no Google Cloud Deixa Contas Vulneráveis por Quase Meia Hora

Pesquisadores de segurança descobriram um problema preocupante na infraestrutura do Google Cloud que pode impactar desenvolvedoras de games e plataformas de esports. Quando um usuário deleta uma chave de acesso API, a revogação não acontece instantaneamente em todos os servidores da empresa — levando até 23 minutos para ser completamente efetivada.

A falha foi identificada pela empresa de segurança Aikido Security e afeta serviços essenciais como Gemini, BigQuery, Google Maps e outras APIs da plataforma. Para o universo dos games, isso representa um risco significativo, já que muitos títulos multiplayer e plataformas de competição usam esses serviços para autenticação e análise de dados.

Durante esse período de “janela de segurança”, invasores conseguem continuar usando chaves deletadas normalmente, podendo abusar de contas, vazar informações sensíveis e gerar cobranças inesperadas. O problema explica-se pela natureza distribuída da infraestrutura do Google: quando você deleta uma credencial, a informação se propaga gradualmente pela rede global, não simultaneamente.

Alguns servidores reconhecem a exclusão em poucos segundos, enquanto outros mantêm a chave antiga ativa por vários minutos. Essa inconsistência cria uma brecha temporal onde o acesso não autorizado permanece possível.

Para o setor de games e esports, especialmente para quem desenvolve serviços competitivos online, a descoberta reforça a importância de implementar camadas adicionais de segurança além das credenciais básicas. Especialistas recomendam monitoramento contínuo de atividades suspeitas e rotações frequentes de chaves de acesso como medidas preventivas.

A Google ainda não se pronunciou oficialmente sobre o assunto, mas a descoberta evidencia a necessidade de maior transparência sobre como funciona a revogação de credenciais em serviços em nuvem.

Fonte: Voxel