Waspada! Ribuan API Key Google Cloud Bocor dan Bisa Digunakan untuk Akses Gemini AI Kamu

Halo sobat TeknologiNow! Baru-baru ini, saya mendapati sebuah laporan riset keamanan yang cukup bikin merinding dari tim Truffle Security dan Quokka. Ternyata, ribuan API Key Google Cloud yang selama ini dianggap “aman” untuk dipajang di kode publik, tiba-tiba berubah menjadi pintu masuk berbahaya bagi penyerang untuk menyalahgunakan layanan AI Gemini kamu. Gak main-main, dampaknya bisa bikin tagihan membengkak hingga miliaran rupiah!

Saat saya mencoba menelusuri bagaimana hal ini bisa terjadi, saya menemukan fakta bahwa masalahnya bukan pada kebocoran kode secara sengaja, melainkan pada bagaimana Google Cloud mengelola izin (permission) secara otomatis. Kejadian ini menjadi pengingat keras bagi kita semua bahwa apa yang aman hari ini, belum tentu aman besok ketika fitur baru ditambahkan. Sebagai pengguna setia teknologi AI, tentu kita ingin produktivitas tetap jalan tanpa harus dihantui risiko finansial yang masif.

Apa yang Sebenarnya Terjadi?

Masalah utama terletak pada API Key dengan prefix AIza. Banyak pengembang (mungkin termasuk kamu) menggunakan API Key ini untuk layanan “ringan” seperti Google Maps API atau Firebase. Awalnya, kunci-kunci ini hanya dianggap sebagai identitas untuk penagihan (billing identifier), bukan kredensial rahasia yang harus disembunyikan rapat-rapat. Itulah sebabnya banyak API Key ini tertanam langsung di kode JavaScript website atau di dalam file strings.xml aplikasi Android.

Namun, petaka muncul saat kamu mengaktifkan Gemini API (Generative Language API) pada project Google Cloud yang sama. Secara otomatis, API Key yang sudah ada—yang tadinya “hanya untuk Maps”—langsung mendapatkan akses ke Gemini tanpa ada peringatan atau konfirmasi tambahan. Fenomena ini dikenal sebagai “silent privilege escalation”. Bayangkan, kunci rumah yang tadinya cuma kamu kasih ke tukang kebun untuk buka pagar, tiba-tiba sekarang bisa dipakai untuk buka brankas uang kamu! Ini adalah celah logika yang dimanfaatkan oleh pihak-pihak tidak bertanggung jawab secara masif di seluruh dunia.

Dampak Mengerikan yang Harus Kamu Tahu

Penyerang di luar sana sangat cerdik. Mereka menggunakan teknik web scraping massal atau melakukan dekompilasi terhadap ratusan ribu aplikasi di Play Store untuk mencari kunci dengan prefix AIza ini. Begitu mereka menemukannya, mereka bisa melakukan hal-hal berikut:

• Pencurian Data Sensitif: Penyerang bisa mengakses file-file yang pernah kamu unggah ke Gemini melalui endpoint /files. Kalau kamu pernah unggah dokumen rahasia perusahaan untuk dianalis AI, data itu sekarang terancam. Ini bukan sekadar teori, akses ke endpoint ini sudah terbukti bisa dilakukan dengan API Key yang bocor tersebut.
• Tagihan Membengkak Drastis: Ini yang paling menakutkan bagi pemilik akun. Penyerang bisa menggunakan kuota LLM (Large Language Model) kamu untuk kepentingan mereka sendiri, seperti menjalankan bot atau layanan pihak ketiga yang menggunakan daya komputasi kamu. Dalam salah satu laporan, ada pengguna yang terkena tagihan sebesar $82,000 atau sekitar Rp 1,2 Miliar hanya dalam waktu 48 jam!
• Akses Konten Cache: Penyerang juga bisa mengintip konten cache yang seharusnya bersifat privat melalui fitur cachedContents. Ini adalah pelanggaran privasi serius yang bisa mengungkap rahasia pribadi maupun bisnis yang sedang diolah oleh AI kamu.

Statistik Kebocoran yang Mengkhawatirkan

Riset ini bukan sekadar teori atau ketakutan tanpa dasar. Tim Truffle Security menemukan sekitar 2,863 kunci aktif yang terpampang bebas di internet publik melalui GitHub dan website-website resmi perusahaan fintech hingga instansi pemerintah. Sementara itu, tim Quokka menemukan lebih dari 35,000 kunci unik setelah melakukan pemindaian terhadap 250,000 aplikasi Android yang ada di pasaran saat ini. Ini baru sebagian kecil dari apa yang mungkin benar-benar ada di luar sana, mengingat metode pencarian yang terus berkembang setiap harinya.

Angka ini menunjukkan bahwa kesadaran akan pembatasan API Key masih sangat rendah di kalangan pengembang. Banyak yang masih menggunakan pengaturan default “Unrestricted” yang membolehkan satu kunci mengakses semua layanan yang aktif di sebuah project. Padahal, memberikan akses penuh (wildcard) seperti ini adalah tiket gratis bagi penyerang untuk mengeksploitasi akun kamu tanpa perlu membobol sistem pertahanan lainnya.

Langkah Cepat untuk Mengamankan Project Kamu

Jangan tunggu sampai dapet notifikasi tagihan kartu kredit yang jebol atau email dari Google Cloud soal aktivitas mencurigakan! Saya sangat menyarankan kamu untuk segera melakukan langkah-langkah mitigasi teknis berikut ini agar terhindar dari mimpi buruk finansial:

1. Audit Project Google Cloud Secara Berkala: Masuk ke Google Cloud Console dan periksa setiap API Key di menu Credentials. Lihat apakah ada API terkait Generative AI yang aktif tanpa sepengetahuan kamu. Jika kunci tersebut memang hanya untuk Maps, pastikan Gemini API dicoret dari daftar aksesibilitasnya.
2. Implementasikan API Restriction: Ini adalah langkah teknis paling krusial. Pastikan setiap API Key yang kamu miliki dibatasi hanya untuk layanan tertentu (misal: “Maps JavaScript API” saja). Jangan pernah membiarkan kunci dalam status “Unrestricted”. Gunakan prinsip Least Privilege—berikan akses minimal yang diperlukan saja.
3. Rotasi dan Hapus Kunci yang Terekspos: Jika kamu merasa atau tahu kunci kamu sudah terlanjur masuk ke repositori publik (seperti GitHub) atau di dalam kode aplikasi yang sudah rilis, jangan ditunda lagi. Segera hapus kunci tersebut di Console, lalu buat kunci baru dengan pembatasan IP (IP Restriction) atau pembatasan aplikasi (Application Restriction) yang sangat ketat.
4. Gunakan Backend Proxy: Berhentilah menaruh API Key sensitif langsung di sisi klien (JavaScript/App Mobile). Gunakan server backend sebagai perantara (proxy) agar kunci tetap aman tersimpan di variabel lingkungan (environment variables) server kamu. Penyerang tidak akan bisa mencuri kunci tersebut meskipun mereka dekompilasi aplikasi kamu.

Keamanan di era AI ini sangat dinamis. Sebagai pengguna, kamu harus selalu waspada terhadap setiap perubahan kebijakan dan penambahan fitur baru di platform cloud yang kamu gunakan. Tetaplah memiliki kontrol penuh atas aset digital kamu agar terhindar dari kerugian yang tidak diinginkan di kemudian hari.

Jangan lupa baca juga ulasan kami tentang Kimi K2.5: AI Baru yang Bisa Mengontrol Ratusan Robot untuk melihat bagaimana implementasi keamanan di model AI masa depan yang lebih otonom namun tetap terkendali.

Rekomendasi TN untuk Keamanan Kamu

Biar data, akun, dan gadget kamu makin aman dari incaran hacker, cek beberapa rekomendasi produk keamanan pilihan tim TeknologiNow berikut ini:

• 🔥 YubiKey 5C NFC Security Key – Proteksi Akun Google & Cloud Maksimal
• 🔥 Webcam Cover Slide (Isi 3) – Jaga Privasi Saat Kerja Remote
• 🔥 Gembok Fingerprint Koper – Aman Saat Traveling & Business Trip

Sumber referensi: The Hacker News, Truffle Security, Quokka Research (Februari 2026). Tetap aman dan waspada, sobat TeknologiNow!

#GoogleCloud #GeminiAI #CyberSecurity #TeknologiNow #RekomendasiTN #KeamananDigital #APILinkLeak