Google APIキーを間違えてパブリックリポジトリに公開するとこうなる

2019年10月14日

大事なキーをパブリックリポジトリに公開して大変なことになった話、よく聞きますよね。

使用者が注意してれば起こらないはずで、実際私もそう思ってました。

だけど開発に集中してるとね、これやっちゃうんですよ…

先日Google MapのAPIを使っていたんですが、その際に誤ってGithubのパブリックリポジトリに公開しちゃいました…

そうしたらこんなメールがすぐに届きました。

す、凄スギィ!

このメールが無かったらマジで気づかずに数日放置してたので良かったです。Google神に救われました^^;

対応ですが、メールが届いた後はすぐにAPIキーを削除して再発行しました。1回公開してしまったものはどこで記録取られてるのか分からないんで、リポジトリから消すだけじゃなくて削除して再発行した方がいいです。さらにコミットで上書きするだけじゃなくて、リポジトリも消して作り直した方がいいです。

公開したままだとどうなるのか?

さて、では公開したままだとどうなるのか、考えてみましょう。

Google APIは一定のリクエスト回数までは無料ですが、それを超えると有料になります。

そしてGithubには、API キーが公開されたらすぐに検知して悪用しようとするハッカーがたくさんいます。

つまりAPIキーの公開がハッカーに検知されて大量のリクエストを送られたりすると、数百、数千万の請求が来ることがあります。

つまり今回の件、冗談抜きにかなり危なかったわけです。いや、ホントに良かった。皆さんもぜひ気をつけましょう…