Das hier ist ein vollständig KI generierter Artikel.

Google Maps/Cloud API-Schlüssel, die früher als sicher galten, können nun in vielen Fällen als echte Gemini AI-Zugangsdaten verwendet werden. Dies bedeutet, dass jeder Schlüssel, der in öffentlichem JavaScript oder Anwendungscode enthalten ist, Angreifern ermöglichen kann, sich mit Gemini zu verbinden, Daten zuzugreifen oder die Rechnung eines anderen in die Höhe zu treiben.

Die Problematik der API-Schlüssel

Forscher fanden rund 2.800 aktive Google API-Schlüssel in öffentlichem Code, die sich bei Gemini authentifizieren können, darunter Schlüssel von großen Finanz-, Sicherheits- und Personalunternehmen sowie von Google selbst. Historisch gesehen wurden Google Cloud API-Schlüssel für Dienste wie Maps, YouTube-Einbettungen und Firebase als nicht-geheime Abrechnungskennungen behandelt, und Googles eigene Richtlinien erlaubten deren Einbettung in clientseitigen Code.

Vergleich mit Passwort-Wiederverwendung

Im Gegensatz zur Passwort-Wiederverwendung, bei der Endnutzer explizit gewarnt werden, folgten Entwickler und Sicherheitsteams bei Google API-Schlüsseln den historischen Anweisungen von Google, dass diese Schlüssel nur Abrechnungskennungen sind, die sicher für die clientseitige Exposition sind. Mit der Aktivierung von Gemini funktionierten diese alten API-Schlüssel plötzlich als echte Authentifizierungsdaten.

Sicherheitsmaßnahmen für Entwickler

Entwickler sollten überprüfen, ob Gemini (Generative Language API) in ihren Projekten aktiviert ist, und alle API-Schlüssel in ihrer Umgebung prüfen, um festzustellen, ob welche öffentlich zugänglich sind, und diese sofort rotieren. Gehen Sie zur GCP-Konsole, navigieren Sie zu APIs & Services > Aktivierte APIs & Services und suchen Sie nach der Generative Language API.

Empfehlungen für Nutzer

Für normale Nutzer geht es weniger um das Schlüsselmanagement und mehr darum, das Google-Konto abgesichert zu halten und bei Drittanbieterzugriffen vorsichtig zu sein. Verknüpfen Sie Gemini nur mit Konten oder Datenspeichern, bei denen Sie sich wohl fühlen, dass sie über die API erreichbar sind, und überprüfen Sie regelmäßig, welche Integrationen und Drittanbieter-Apps Zugriff auf Ihr Google-Konto haben.

Fazit

Die Sicherheitslücke bei Google API-Schlüsseln zeigt, wie wichtig es ist, die Verwendung von Zugangsdaten regelmäßig zu überprüfen und anzupassen. Entwickler und Nutzer sollten wachsam bleiben und proaktive Maßnahmen ergreifen, um ihre Daten zu schützen.

Quelle: https://www.malwarebytes.com/blog/news/2026/02/public-google-api-keys-can-be-used-to-expose-gemini-ai-data