Bahaya! API Key Google Cloud Bocor Bisa Dipakai Akses Gemini

Sebuah penelitian terbaru mengungkap potensi celah keamanan yang cukup serius pada layanan cloud milik Google. Ribuan kunci API milik Google Cloud dilaporkan terbuka di internet dan berpotensi disalahgunakan untuk mengakses layanan kecerdasan buatan Gemini, termasuk endpoint yang sensitif.

Temuan ini pertama kali diungkap oleh perusahaan keamanan siber Truffle Security, yang menemukan hampir 3.000 kunci API Google tertanam secara terbuka di berbagai kode sisi klien di internet. Kunci API tersebut mudah dikenali karena memiliki awalan “AIza”, yang biasanya digunakan oleh pengembang untuk menghubungkan aplikasi mereka dengan berbagai layanan Google.

Pada praktiknya, kunci API ini sering dipakai untuk fungsi sederhana seperti menampilkan peta dari layanan Google Maps di dalam sebuah situs web. Namun penelitian terbaru menunjukkan bahwa kunci tersebut ternyata dapat dimanfaatkan untuk tujuan lain yang jauh lebih sensitif.

Peneliti keamanan dari Truffle Security, Joe Leon, menjelaskan bahwa kunci API yang valid dapat dimanfaatkan oleh pihak tidak bertanggung jawab untuk mengakses berbagai sumber daya dalam sebuah proyek cloud.

Menurutnya, dengan memanfaatkan kunci API yang terbuka tersebut, penyerang berpotensi melakukan sejumlah tindakan berbahaya, seperti mengakses file yang telah diunggah ke sistem, mengambil data yang tersimpan di cache, hingga menggunakan layanan model bahasa besar atau Large Language Model (LLM) yang biayanya akan dibebankan ke akun pemilik kunci API.

Yang lebih mengkhawatirkan, Leon menyebutkan bahwa kunci API tersebut kini juga dapat digunakan untuk mengakses layanan Gemini, meskipun pada awalnya tidak dirancang untuk tujuan tersebut.

Celah Muncul Saat API Gemini Diaktifkan

Masalah ini muncul ketika pengguna mengaktifkan API Gemini—yang juga dikenal sebagai Generative Language API—pada proyek Google Cloud mereka.

Ketika API tersebut diaktifkan, semua kunci API yang sudah ada dalam proyek tersebut secara otomatis memperoleh akses ke endpoint Gemini. Hal ini termasuk kunci API yang sebelumnya sudah terlanjur dipublikasikan secara terbuka di dalam kode JavaScript situs web.

Ironisnya, proses tersebut terjadi tanpa adanya peringatan atau notifikasi kepada pemilik proyek. Akibatnya, kunci API yang semula hanya digunakan untuk fungsi sederhana dapat berubah menjadi kredensial yang memiliki akses lebih luas.

Situasi ini membuka peluang bagi pelaku kejahatan siber untuk memanfaatkan kunci API yang tersebar di internet. Dengan teknik sederhana seperti memindai kode situs web, mereka bisa mengumpulkan kunci API dan menggunakannya untuk berbagai aktivitas berbahaya.

Beberapa potensi penyalahgunaan yang dapat terjadi antara lain mengakses file sensitif melalui endpoint /files, mengambil data cache melalui endpoint /cachedContents, hingga mengirim permintaan ke API Gemini menggunakan akun korban.

Aktivitas semacam ini tidak hanya berisiko terhadap keamanan data, tetapi juga dapat menyebabkan penggunaan kuota API secara besar-besaran yang akhirnya menimbulkan tagihan sangat tinggi bagi pemilik akun.

Pengaturan Default yang Menjadi Risiko

Selain itu, penelitian juga menemukan bahwa pengaturan default saat membuat kunci API baru di Google Cloud memiliki potensi risiko tersendiri.

Ketika pengguna membuat kunci API baru, sistem secara otomatis menetapkannya sebagai “Unrestricted” atau tidak dibatasi. Artinya, kunci tersebut dapat digunakan untuk mengakses seluruh API yang aktif di dalam proyek, termasuk Gemini.

Leon menjelaskan bahwa kondisi ini menyebabkan ribuan kunci API yang sebelumnya hanya berfungsi sebagai token identifikasi penagihan kini berubah menjadi kredensial aktif untuk layanan AI.

Dalam penelitian tersebut, Truffle Security menemukan sekitar 2.863 kunci API yang masih aktif dan dapat diakses secara publik di internet. Bahkan salah satu kunci tersebut ditemukan pada sebuah situs yang memiliki keterkaitan dengan Google.

Temuan Serupa pada Aplikasi Android

Masalah ini juga tidak hanya ditemukan di situs web. Perusahaan keamanan mobile Quokka juga melaporkan temuan serupa dalam penelitian terpisah.

Dalam pemindaian terhadap sekitar 250.000 aplikasi Android, Quokka menemukan lebih dari 35.000 kunci API Google unik yang tertanam di dalam aplikasi.

Menurut perusahaan tersebut, risiko dari kebocoran kunci API tidak hanya sebatas penyalahgunaan biaya layanan AI. Lebih dari itu, endpoint berbasis AI memiliki potensi interaksi yang kompleks dengan berbagai komponen lain.

Misalnya, AI dapat berinteraksi dengan prompt pengguna, konten yang dihasilkan oleh sistem, hingga layanan cloud lain yang terhubung. Jika sebuah kunci API berhasil disusupi, kombinasi akses tersebut dapat memperluas dampak serangan secara signifikan.

Bahkan ketika data pelanggan tidak dapat diakses secara langsung, penggunaan inference AI, konsumsi kuota API, serta integrasi dengan layanan cloud lain dapat menciptakan risiko keamanan yang jauh lebih besar dibandingkan fungsi awal kunci API sebagai penanda penagihan.

Google Mengambil Langkah Penanganan

Menanggapi laporan tersebut, Google akhirnya mengambil langkah untuk mengatasi masalah ini. Awalnya perilaku sistem ini dianggap sebagai bagian dari desain layanan, namun setelah laporan peneliti dipublikasikan, perusahaan mulai melakukan penanganan.

Dalam pernyataannya kepada situs keamanan siber The Hacker News, juru bicara Google mengatakan bahwa pihaknya telah bekerja sama dengan para peneliti untuk meneliti dan memperbaiki potensi masalah tersebut.

Google menegaskan bahwa perlindungan terhadap data pengguna dan infrastruktur cloud merupakan prioritas utama. Perusahaan juga mengklaim telah menerapkan sejumlah langkah proaktif untuk meningkatkan keamanan.

Langkah tersebut antara lain mendeteksi kunci API yang bocor di internet serta memblokir kunci yang mencoba mengakses API Gemini secara tidak sah.

Tagihan Membengkak hingga Rp1,2 Miliar

Meskipun belum ada bukti bahwa celah ini dimanfaatkan secara luas oleh pelaku kejahatan siber, sebuah laporan dari pengguna internet menunjukkan potensi dampak finansial yang sangat besar.

Dalam sebuah unggahan di platform Reddit, seorang pengguna mengaku bahwa kunci API Google Cloud miliknya telah dicuri.

Akibatnya, ia menerima tagihan sebesar 82.314,44 dolar AS hanya dalam dua hari, yaitu pada 11 hingga 12 Februari 2026. Padahal sebelumnya pengeluaran bulanannya hanya sekitar 180 dolar AS.

Jika dikonversi ke rupiah, jumlah tersebut setara dengan lebih dari Rp1,2 miliar, sebuah angka yang sangat besar untuk penggunaan layanan cloud dalam waktu singkat.

Pentingnya Pemeriksaan Keamanan API

Para pakar keamanan menyarankan agar pengguna Google Cloud segera melakukan pemeriksaan terhadap proyek yang mereka kelola.

Langkah pertama adalah mengecek daftar API yang aktif dalam proyek dan memastikan apakah API terkait kecerdasan buatan seperti Gemini telah diaktifkan.

Pengguna juga disarankan untuk memeriksa apakah kunci API mereka pernah dipublikasikan secara terbuka, misalnya di dalam kode JavaScript situs web atau di repositori publik seperti GitHub.

Jika ditemukan kunci API yang terpapar, langkah yang harus segera dilakukan adalah melakukan rotasi kunci API, yaitu mengganti kunci lama dengan yang baru.

Truffle Security juga menyarankan agar pengembang memulai proses pemeriksaan dari kunci API yang paling lama, karena kemungkinan besar kunci tersebut dibuat berdasarkan panduan lama yang menganggap kunci API aman untuk dibagikan secara publik.

Risiko Keamanan API Terus Berkembang

Ahli strategi keamanan dari Wallarm, Tim Erlin, menyebut kasus ini sebagai contoh nyata bahwa risiko keamanan pada sistem cloud terus berkembang.

Perubahan pada API atau layanan digital sering kali dapat meningkatkan risiko tanpa disadari oleh pengguna. Karena itu, proses keamanan seperti pengujian keamanan, pemindaian kerentanan, dan audit sistem harus dilakukan secara berkelanjutan.

Erlin menambahkan bahwa perkembangan layanan berbasis AI membuat tantangan keamanan API menjadi semakin kompleks. Oleh karena itu, organisasi tidak hanya perlu mencari celah keamanan, tetapi juga memantau perilaku sistem secara aktif.

Langkah-langkah seperti menganalisis pola akses data, mendeteksi aktivitas yang tidak wajar, serta memblokir tindakan berbahaya secara cepat menjadi kunci penting dalam menjaga keamanan sistem di era teknologi AI yang terus berkembang.