Den Anstoß für die Untersuchung gab laut Leon eine Veröffentlichung von Eduard Agavriloae, Mitgründer von Offensai, der zuvor Verzögerungen beim Widerruf von AWS-Zugangsdaten beschrieben hatte. Dort betrug die Verzögerung allerdings nur vier Sekunden, und AWS reagierte auf das Problem. „Vier Sekunden reichten bei AWS, um ins Gewicht zu fallen", schrieb Leon — bei Google fielen die Fenster um ein Vielfaches länger aus.

Das Forschungsteam von Aikido führte über zwei Tage zehn Tests durch. Dabei erstellte es virtuelle Maschinen (VMs) in verschiedenen GCP-Regionen, löschte die API-Schlüssel und sendete anschließend bis zu fünf authentifizierte Anfragen pro Sekunde, um zu messen, wie lange die Schlüssel weiter funktionierten.

Die Ergebnisse beschreibt Leon als „hochgradig unvorhersehbar". In einem Durchlauf lag die Erfolgsquote der Authentifizierung nach einer Minute noch bei 79 Prozent, in einem anderen bei lediglich 5 Prozent. Zudem hingen die Quoten deutlich von der Region der VM ab: In der Region asia-southeast1 lag die mediane Erfolgsquote nach einer Minute bei nur 22 Prozent, in us-east1 und europe-west1 dagegen bei rund 49 Prozent.

VMs weiter entfernt von den USA nahmen die Löschanfragen schneller auf — laut Leon „das Gegenteil dessen, was man erwarten würde", ohne dass die Ursache klar wäre. Das Routing von Google sei komplexer als die Annahme „VM-Region gleich Server-Region"; eine VM in Singapur kommuniziere nicht zwangsläufig mit Servern in Singapur. Die regionalen Unterschiede würden allein dadurch bestimmt, von wo aus die Anfragen ausgingen, unabhängig vom Standort des Kunden.

Die Benutzeroberfläche der GCP weist beim Löschen darauf hin: „Nach dem Löschen kann er nicht mehr für API-Anfragen verwendet werden." Diese Angabe sei nachweislich falsch, so Leon, und lasse Kunden im Unklaren darüber, wann ein Schlüssel tatsächlich vollständig widerrufen ist. Für Incident-Response-Teams untergrabe das ein zentrales Denkmodell: Bislang gelte ein Schlüssel nach dem Klick auf „Löschen" oder „Widerrufen" als unbrauchbar — bei GCP-Zugangsdaten bestehe nun ein Fenster, in dem er für Angreifer weiter funktioniere.

Aikido empfiehlt Sicherheits- und Incident-Response-Teams, beim Löschen von Google-API-Schlüsseln mit einem Zeitfenster von 30 Minuten zu rechnen. Zudem sollten Organisationen ihre API-Anfragen je Zugangsdaten über den Bereich „Aktivierte APIs und Dienste" der GCP-Konsole überwachen. Unerwartete Nutzung eines Schlüssels nach dessen Löschung könne auf eine aktive Ausnutzung hindeuten.

Google stufte den gemeldeten Befund laut Blogbeitrag als „wird nicht behoben" ein. Eine Anfrage von Dark Reading ließ das Unternehmen bis zum Redaktionsschluss unbeantwortet. Leon verweist darauf, dass Google andere Zugangsdaten deutlich schneller widerruft: Löschungen von Dienstkonten verbreiten sich in etwa fünf Sekunden über die Plattform, das neuere API-Schlüssel-Format von Gemini ist nach rund einer Minute vollständig widerrufen. Das Problem sei damit „technisch lösbar". Ein Widerrufsfenster von 23 Minuten stehe „grundlegend im Widerspruch zu dem, was Nutzer von einem Lösch-Button erwarten".