Удалённые Google API-ключи ещё живут до 23 минут

Удалённые Google API-ключи ещё живут до 23 минут

Aikido Security пишет: после удаления Google API keys могут оставаться активными до 23 минут.

Почему это важно для affiliate-команд: если ключ утёк в логах, лендинге, репозитории или автоскрипте, простое “удалили ключ” не мгновенно закрывает окно доступа.

По данным исследования, такие ключи могут давать полный доступ к Gemini, BigQuery и Maps. Для маркетинговой автоматизации это неприятный набор: AI-запросы, данные, карты/гео-сервисы.

Что делать в процессах:
— не считать удаление ключа моментальной защитой
— при инциденте сразу отключать связанные сервисы/права, а не только удалять ключ
— не хранить ключи в фронте и общих таблицах
— проверять, где ключ мог быть закеширован или залогирован

Минус новости: Google, по статье, не планирует фиксить описанное поведение. Значит, это надо учитывать на своей стороне.