Google Gemini: Gestohlener API-Key treibt Startup in die Insolvenz

Ein gestohlener API-Key hat ein kleines Startup wohl in den Ruin getrieben. Innerhalb von 48 Stunden verursachten Kriminelle Kosten von rund 82.000 Dollar mit Google Gemini. Der Fall zeigt problema­tische Sicherheitslücken im Umgang mit Cloud-Schnittstellen auf.

Gestohlener Gemini-API-Key

Kriminelle nutzen KI immer häufiger für Betrug. Da entsprechende Tools wie ChatGPT oder Gemini problemlos täuschend echte Belege und Rechnungen erstellen, erschleichen sich etwa Angestellte mittels Spesenbetrug Millionenbeträge. Ein Team von drei Entwicklern aus Mexiko wurde nun ebenfalls zum Opfer von KI-Betrügern. Die Umstände waren hier jedoch völlig andere.

So explodierte innerhalb von nur zwei Tagen ihre Rechnung für Google-Cloud-Dienste plötzlich von üblichen 180 Dollar (etwa 155 Euro) auf unglaubliche 82.314 Dollar (etwa 71.000 Euro). Ursache war ein kompromittierter API-Schlüssel, den Unbefugte nutzten, um massenhaft Anfragen an die KI-Modelle Gemini 3 Pro Image und Text zu senden. Das System schlug keinen Alarm, obwohl die Nutzung um das 455-Fache anstieg.

Keine Kulanz bei Google

Die Betroffenen reagierten sofort, als sie den Vorfall bemerkten. Sie löschten den Schlüssel, deaktivierten das Projekt und aktivierten überall die Zwei-Faktor-Authentifizierung. Doch der finanzielle Schaden war bereits angerichtet. Google verwies auf Anfrage lediglich auf das Modell der geteilten Verantwortung ("Shared Responsibility"). Demnach stellt der Konzern die Infrastruktur bereit, während der Kunde allein für die Sicherheit seiner Zugangsdaten zuständig ist. Eine Kulanzregelung wurde dem Startup nicht angeboten.

Wie der betroffene Nutzer RatonVaquero auf Reddit (via The Register) berichtet, würde die Durchsetzung dieser Forderung die sofortige Insolvenz seines Unternehmens bedeuten. Das Team verfügt nicht über die Mittel, eine derart hohe Summe zu begleichen.

Risiko durch alte Schlüssel

Sicherheitsexperten warnen, dass das kein Einzelfall ist. Das Problem liegt oft in der Historie der Schlüsselverwendung. Viele API-Keys wurden ursprünglich für Frontend-Dienste wie Google Maps erstellt und legitimerweise im Quellcode von Webseiten eingebettet. Solche Schlüssel sind oft nur durch Referrer-Checks gesichert. Wenn Entwickler für diese alten, öffentlich einsehbaren Schlüssel nachträglich kostenintensive Gemini-Dienste im Backend aktivieren, werden sie zu einem offenen Tor für Missbrauch.

Angreifer scannen das Netz gezielt nach solchen Schlüsseln. Automatisierte Skripte durchsuchen öffentliche Repositories wie GitHub oder den Quellcode von Webseiten nach Mustern von Google-API-Keys. Sobald ein Treffer gelandet ist, testen Bots die Berechtigungen. Im vorliegenden Fall leiteten die Kriminellen ihren Traffic über den gestohlenen Schlüssel, um die kostenpflichtige Gemini-Schnittstelle für eigene Zwecke zu nutzen.

Forderung nach harten Kostenbremsen

Unverständlich bleibt für viele Beobachter, warum Anbieter wie Google bei derart extremen Abweichungen nicht automatisch eingreifen. Es fehlten automatische Kostenbremsen oder eine zwangsweise Bestätigung bei extremen Lastspitzen, die das finanzielle Desaster hätten verhindern können. Google Cloud bietet zwar Budget-Warnungen per E-Mail, diese stoppen die Dienste jedoch nicht. In der Branche werden nun Forderungen nach neuen Sicherheitsvorkehrungen laut.

Habt ihr bereits Erfahrungen mit unerwarteten Kosten bei Cloud-Anbietern gemacht? Schreibt uns eure Erlebnisse und Meinungen gerne in die Kommentare.


Siehe auch: