Chaves de API do Google continuam funcionando por vários minutos após exclusão

Um pesquisador de segurança descobriu que essas chaves não ficam completamente inativas depois que os usuários as apagam (o tempo de revogação fica em média de 16 minutos), abrindo uma janela pequena, mas relevante, para abuso. A recomendação é que equipes de segurança adotem uma janela de 30 minutos para exclusões de chaves de API do Google e monitorem o uso por credencial na seção “Enabled APIs and services” do console do GCP. O pesquisador também reportou as descobertas ao Google, mas o caso foi encerrado como não sendo um problema.