【こわい】Google APIキーの脆弱性により13時間で約900万円請求される事案が発生! Firebase×Geminiで今すぐやるべきセキュリティ対策 - Qiita
はじめに こんばんは、mirukyです。 この画像を見てください。 この画像の通り、「FirebaseサービスのAPIキーは非公開ではない」と、Firebaseの公式ドキュメントには書かれています。説明の必要は無いかもしれませんが、Fire...
yorkfield"APIキーを用途ごとに分離する" / これはユーザーが気にするんじゃ無くて、システム側で1用途1APIキーに制限できないのかなあ。違う用途ならAPIキーは違うのが当たり前なわけで。
2026/04/18 03:08★
paradisemakerこれ、普通に認証認可の設計ミスってると思う
2026/04/18 04:01★★★★★★
mory2080V0で作り始めたwebアプリで"Gemini APIの無料枠を利用して実装"をGeminiにお勧めされてるんだけど頓挫してて不幸中の幸いだったか。頓挫してるのはV0の無料枠を使い切ってるからだけどw
2026/04/18 04:02
wdnsdyデフォルトで制限なしになってんのは怖すぎるだろ。Googleはだいたいいつもそうだが
2026/04/18 06:07★★
kijtra2月に trufflehog が注意喚起してたやつね
2026/04/18 06:10★
hogetax13時間で900万円分のアクセスするのって何をさせたんだろう?
2026/04/18 06:22
rantan89klまず、API課金の金額上限を設定しておくべき。それだけで避けれるし
2026/04/18 06:28
n_pikarin7とりあえずプリペイドにしよう…
2026/04/18 07:05
nguyen-oi900万円は草枯れる。Firebaseの仕様とGeminiの相性最悪だな
2026/04/18 07:05
nowwwGoogle APIは地図で使っているが、この手の話をたまに聞くからビビりながら設定している
2026/04/18 07:10
twmwビックリするほどエビル🫢とんずらクラファンレベル🤔
2026/04/18 08:02
taguch1ミスった時に即死亡のサーバーレス構成はあまりやりたくない。FaaSくらいは置いておきたいところ
2026/04/18 08:39
getchaイメージ戦略に騙されている Google 信者が多数いるが、Google は技術的周りの発表は (大昔は良かったものの)基本的にHype だったり、あらゆる面で技術センスも対応も基本的に最低というのが現場の認識だと思う。
2026/04/18 08:40
hirosheそもそもこれに限らずだけどAPIキーがわかれば使い放題になる仕組み自体脆弱すぎないか。これならユーザIDとパスワードの方がまだ安全な気がする。
2026/04/18 09:10
sato0427ローカルでちょっと使うだけでも怖くてアラート入れてる…と思ったらアラートが数時間遅れか…今見に行ったら課金上限メニューが増えた。今回ので追加したのか?でもこれも10分遅れか…
2026/04/18 09:15
strawberryhunterGoogleは広告で昔やっていた手法なので、マーク・ザッカーバーグが詐欺広告を儲かるから、なるべく規制から保護しているのと同様にGoogleが意図的にこういう設計にしていても不思議ではない。使わないのが一番。
2026/04/18 09:42
hate1229これに限らないが青天井の従量課金サービスやめてほしい。
2026/04/18 10:03