NERDMANAPI-Key geklaut: Google will trotzdem 82.000 Dollar
Ein Entwicklerteam hat sich den API-Key für Googles Gemini stehlen lassen. Fremde ballerten massenhaft Anfragen über den Schlüssel — und jetzt will Google die Rechnung trotzdem bezahlt sehen.
Die Fakten
- Schaden:** Über 82.000 US-Dollar für missbrauchte Gemini-API-Calls
- Ursache:** Gestohlener API-Key, genutzt für massenhafte Anfragen durch Dritte
- Reaktion von Google:** Rechnung bleibt bestehen — kein Entgegenkommen
Das Paradoxe daran
Google selbst ist von dem Problem geleakter API-Keys betroffen. Der Konzern kennt das Risiko also bestens. Trotzdem lässt man den Entwickler auf den Kosten sitzen.
Das ist, als würde dein Vermieter die Haustür nicht reparieren — und dir dann die Einbruchschäden in Rechnung stellen.
💡 Was das bedeutet
API-Keys sind der Haustürschlüssel zu Cloud-Diensten. Wer ihn hat, kann auf fremde Kosten Millionen Anfragen feuern. Und bei Google gibt es offenbar kein Sicherheitsnetz: kein automatisches Spending-Limit, kein Kill-Switch, kein Fraud-Detection — zumindest keins, das hier gegriffen hätte.
Pro (für Google)
- Nutzungsbedingungen sind klar: Du bist für deinen Key verantwortlich
- Key-Rotation und Einschränkungen sind technisch möglich
Con (gegen Google)
- Kein automatisches Ausgabenlimit bei ungewöhnlichem Traffic
- Google profitiert vom Missbrauch — die Rechnung wird ja bezahlt
- Der Konzern hat selbst das gleiche Problem mit geleakten Keys
Lektion für alle Entwickler
Wer mit Cloud-APIs arbeitet, sollte sofort handeln:
- API-Keys niemals im Code committen
- Spending-Limits und Alerts setzen, bevor es knallt
- Keys regelmäßig rotieren
- Zugriff auf bestimmte IPs oder Services einschränken
