Uma startup mexicana acumulou mais de US$ 82 mil em cobranças não autorizadas no Google Cloud após ter uma chave de acesso roubada e usada por criminosos para acionar modelos de inteligência artificial da empresa.
O ataque durou 48 horas, em fevereiro deste ano, e representou um aumento de 46.000% sobre o gasto mensal normal da empresa. O Google, até o momento, mantém que a dívida é da vítima.
Crachá digital virou senha de cofre
Para usar serviços externos, como os mapas ou a inteligência artificial do Google, desenvolvedores precisam de uma chave de API. Trata-se de uma sequência de caracteres única que funciona como um crachá digital, identificando quem está fazendo as requisições e em qual conta cobrar.
Para serviços como o Google Maps e o Firebase, uma plataforma de desenvolvimento de apps, o próprio Google sempre orientou que essa chave não era um segredo. Ela deveria ser incorporada diretamente ao código do site, visível a qualquer um. Isso porque a chave só identificava o projeto, não dava acesso a nada sensível.
O problema começou quando o Google lançou o Gemini, sua linha de inteligência artificial generativa, e passou a aceitar essas mesmas chaves antigas como forma de acessar os novos modelos de IA sem avisar ninguém.
A vulnerabilidade é ativada quando alguém da equipe habilita a API do Gemini na conta da empresa, ainda que para um projeto interno pequeno, para que a chave pública já existente passe a funcionar também como credencial de acesso à IA.
A conexão entre as duas ações não é óbvia, e o Google não emite nenhum alerta sobre ela.
Como os criminosos encontraram a chave
As chaves do Google seguem um padrão fixo, todas começam com a sequência AIza. Isso as torna facilmente localizáveis por ferramentas automatizadas que vasculham a internet em busca de padrões específicos, um processo chamado de varredura de segredos.
Com essas ferramentas, criminosos examinam milhões de páginas públicas e repositórios de código até encontrar uma chave válida. Foi exatamente isso que aconteceu com a startup. A chave estava exposta porque deveria estar, seguia as instruções do Google.
Quando os criminosos perceberam que ela também funcionava para o Gemini, passaram 48 horas fazendo requisições massivas aos modelos de geração de texto e imagem, que estão entre os mais caros da linha, o que resultou em US$ 82.314,44 em cobranças não autorizadas.
Ao perceber o ataque, a empresa excluiu a chave comprometida, desativou os serviços de IA e gerou novas credenciais. Esse processo é chamado de rotação de credenciais, equivalente a trocar as fechaduras depois que uma cópia da chave foi roubada. O estrago, porém, já estava feito.
A resposta do Google
Em vez de absorver os custos, um representante do Google citou o modelo de responsabilidade compartilhada, princípio do setor que diz que o provedor protege a plataforma, enquanto o cliente protege suas próprias credenciais. A posição foi que a vítima deveria pagar a dívida.
“Se o Google tentar cobrar até mesmo um terço desse valor, nossa empresa irá à falência”, escreveu o desenvolvedor no Reddit. “Estamos sobrevivendo com dificuldade.”
O problema é muito maior
Enquanto o caso ganhava repercussão, pesquisadores da empresa de segurança Truffle Security revelaram a escala real do problema. Ao vasculhar milhões de sites, encontraram 2.863 chaves ativas e expostas com a mesma vulnerabilidade, todas criadas como identificadores públicos, todas agora capazes de autenticar o acesso ao Gemini.
A Truffle havia reportado isso ao Google em novembro de 2025. A resposta inicial foi que se tratava de “comportamento intencional”, nada a corrigir.
A empresa só revisou sua posição quando os pesquisadores apresentaram um exemplo dentro da própria infraestrutura do Google, uma chave incorporada num produto da própria empresa em 2023, como identificador público, que agora autenticava o Gemini.
Diante disso, o Google reclassificou o caso como bug (falha de sistema) e começou a trabalhar em uma correção. Em fevereiro de 2026, informou que o problema ainda estava sendo investigado. Nenhum resultado concreto foi anunciado.