Google APIキーを間違えてパブリックリポジトリに公開するとこうなる
Google APIキーを間違えてGithubのパブリックリポジトリに公開したら速攻でこんなメールが届いた。
— trs (@trs1141) October 13, 2019
これ、気づかずに悪用されたら数百〜数千万の請求が来るかもしれないところだったので本当にセーフ。
またGoogle神に助けられました。 pic.twitter.com/Yz0y8COQNK
大事なキーをパブリックリポジトリに公開して大変なことになった話、よく聞きますよね。
使用者が注意してれば起こらないはずで、実際私もそう思ってました。
だけど開発に集中してるとね、これやっちゃうんですよ…
先日Google MapのAPIを使っていたんですが、その際に誤ってGithubのパブリックリポジトリに公開しちゃいました…
そうしたらこんなメールがすぐに届きました。
す、凄スギィ!
このメールが無かったらマジで気づかずに数日放置してたので良かったです。Google神に救われました^^;
対応ですが、メールが届いた後はすぐにAPIキーを削除して再発行しました。1回公開してしまったものはどこで記録取られてるのか分からないんで、リポジトリから消すだけじゃなくて削除して再発行した方がいいです。さらにコミットで上書きするだけじゃなくて、リポジトリも消して作り直した方がいいです。
公開したままだとどうなるのか?
さて、では公開したままだとどうなるのか、考えてみましょう。
Google APIは一定のリクエスト回数までは無料ですが、それを超えると有料になります。
そしてGithubには、API キーが公開されたらすぐに検知して悪用しようとするハッカーがたくさんいます。
つまりAPIキーの公開がハッカーに検知されて大量のリクエストを送られたりすると、数百、数千万の請求が来ることがあります。
つまり今回の件、冗談抜きにかなり危なかったわけです。いや、ホントに良かった。皆さんもぜひ気をつけましょう…