Der Sicherheitsforscher Joe Leon von Aikido Security führte systematische Tests durch, um die sogenannte Revocation Window – das Zeitfenster zwischen dem Löschen eines Keys und seiner endgültigen Deaktivierung – bei Google Cloud Platform zu untersuchen. Die Ergebnisse sind besorgniserregend: Im Median dauert es etwa 16 Minuten, bis ein gelöschter API-Key vollständig inaktiv wird. Im schlimmsten Fall gemessenen Fall waren es 23 Minuten. Während dieser Zeit können Angreifer, die im Besitz eines gelöschten Keys sind, weiterhin authentifizierte Anfragen stellen.
Die praktischen Konsequenzen sind erheblich. Wenn Googles Gemini-Feature auf einem Projekt aktiviert ist, können Angreifer über den kompromitierten Key hochgeladene Dateien herunterladen oder gecachte Gesprächsdaten abgreifen – alles während die GCP-Konsole dem Administrator anzeigt, dass der Key bereits gelöscht und damit inaktiv ist. Diese Irreführung der Nutzeroberfläche ist aus Sicherheitsperspektive inakzeptabel.
Besonders problematisch ist die Unvorhersehbarkeit der Revocation Windows. Tests zeigten massiv unterschiedliche Erfolgsquoten bei der Authentifizierung: Eine Minute nach dem Löschen variierte die Authentifizierungsquote zwischen 79 Prozent in einem Test und nur 5 Prozent in einem anderen. Noch überraschender: Die geografische Region des Virtual Machine (VM) spielte eine Rolle. VMs in Googles Region Asien-Südosteuropa (asia-southeast1) hatten nur 22 Prozent Erfolgsquote, während us-east1 und europe-west1 etwa 49 Prozent erreichten. Leon vermutet, dass dies mit Googles komplexem Request-Routing, Caching-Mechanismen oder geografischen Infrastruktur-Affinitäten zusammenhängt.
Aikido Security meldete die Befunde an Google, doch der Konzern schloss den Report unter der Kategorie “won’t fix” – wird nicht behoben. Das ist ein beachtliches Statement: Google hat demonstriert, dass kürzere Revocation Windows technisch möglich sind – Service Account Deletions propagieren in etwa 5 Sekunden, neuere Gemini API-Keys in etwa einer Minute. Eine 23-Minuten-Verzögerung bei Standard-API-Keys ist daher nicht unvermeidbar.
Für Incident-Response-Teams und Sicherheitsverantwortliche ist dies ein grundsätzliches Problem. Sie müssen ihre mentalen Modelle anpassen: Ein gelöschter Key ist nicht sofort weg. Aikido empfiehlt daher, ein 30-Minuten-Fenster einzuplanen und API-Anfragen pro Credential kontinuierlich zu überwachen. Unerwartete Requests nach dem Löschen könnten auf aktiven Missbrauch hindeuten. Für deutschsprachige Organisationen sollte dieser Fall in Sicherheits-Audits und Cloud-Governance-Richtlinien berücksichtigt werden.