---
title: "Exclusão não é imediata: Google Cloud deixa APIs ativas por tempo surpreendente"
author: "Caíque Andrade "
published: 2026-05-24T03:02:03.794+00:00
updated: 2026-07-09T04:15:16.719342+00:00
section: "IA & Inovação"
canonical: https://bitflowtech.com.br/artigo/exclusao-nao-e-imediata-google-cloud-deixa-apis-ativas-por-tempo-surpreendente
source: BitFlow Tech
license: "Citação permitida com atribuição e link para a URL canônica."
---

# Exclusão não é imediata: Google Cloud deixa APIs ativas por tempo surpreendente

> Mesmo após serem apagadas, chaves de API do Google podem funcionar por até 23 minutos, expondo seus serviços a ataques. Essa falha na revogação exige atenção imediata de desenvolvedores e equipes de segurança.

**Autor:** Caíque Andrade   
**Publicado:** 2026-05-24  
**Seção:** IA & Inovação  
**Original:** https://bitflowtech.com.br/artigo/exclusao-nao-e-imediata-google-cloud-deixa-apis-ativas-por-tempo-surpreendente

![Exclusão não é imediata: Google Cloud deixa APIs ativas por tempo surpreendente](https://qbgwyoweznyfgawghggl.supabase.co/storage/v1/object/public/media/cover-1779591430494.webp)

---

Segundo testes da Aikido Security, algumas chaves de API do Google continuaram aceitando requisições mesmo depois de apagadas. Em certos casos, a janela chegou a quase 23 minutos, tempo suficiente para um invasor abusar de uma credencial vazada.

E olha, para quem trabalha com cloud, [Gemini](/artigo/gemini-turbina-google-workspace-seu-novo-colega-de-ia-chegou-mmkuxdjc), [BigQuery](/artigo/google-maps-turbinado-gemini-e-navegacao-imersiva-chegam-mmoa3tui), Maps ou qualquer serviço ligado a chaves de API, esse detalhe muda bastante a forma de responder a um incidente.

![](https://qbgwyoweznyfgawghggl.supabase.co/storage/v1/object/public/media/editor-1779591504967.webp)Mesmo após serem excluídas, algumas chaves de API do Google Cloud podem continuar funcionando por minutos durante a janela de revogação.

## Chaves do Google Cloud podem seguir ativas por minutos

A falha não significa, necessariamente, que a chave “volta” depois de excluída. O problema está na propagação da revogação pela infraestrutura do Google.

Na prática, alguns servidores entendem rapidamente que aquela chave foi apagada. Outros demoram mais para receber essa informação e continuam aceitando chamadas por alguns minutos. Foi essa diferença que os pesquisadores chamaram de “janela de revogação”.

É como trocar a fechadura da porta principal, mas descobrir que algumas entradas laterais ainda reconhecem a chave antiga por um tempinho. Parece pouco, mas em segurança digital poucos minutos podem virar um problemão.

## O risco aumenta quando a chave vazada dá acesso ao Gemini

A situação preocupa mais quando a chave exposta está ligada a APIs sensíveis ou caras, como serviços de inteligência artificial.

A própria documentação do Google recomenda restringir chaves de API para limitar o impacto caso uma credencial seja comprometida. Também orienta evitar chaves em código fonte ou repositórios, já que isso facilita roubo e abuso.

O perigo é simples de entender: se alguém encontra uma chave vazada e ela ainda funciona depois da exclusão, esse invasor pode tentar fazer o máximo de chamadas possível antes que todos os servidores parem de aceitá-la.

Nesse intervalo, podem acontecer coisas como:

- uso indevido de APIs pagas, gerando cobranças inesperadas;

- acesso a serviços habilitados no projeto;

- exploração de dados ou contexto disponível em ferramentas de IA;

- aumento repentino de tráfego difícil de conter.

O Google também afirma que chaves padrão podem ser usadas com qualquer API que as aceite, salvo quando restrições específicas são aplicadas. Ou seja, deixar uma chave sem limite nunca é uma boa ideia.

## O painel pode dar uma sensação errada de segurança

Um ponto que chamou atenção no relatório foi a mensagem exibida ao apagar uma chave. Para o usuário comum, a ideia transmitida é bem direta: excluiu, parou de funcionar.

Mas os testes mostraram outro cenário. A Aikido disse ter realizado dez tentativas ao longo de dois dias, criando e apagando chaves enquanto seguia enviando requisições autenticadas. O resultado variou bastante: em alguns testes, a chave falhou logo; em outros, continuou funcionando por vários minutos.

Esse tipo de comportamento é especialmente delicado em uma emergência. Quem está lidando com uma credencial vazada precisa saber se o acesso foi realmente encerrado ou se ainda existe uma brecha temporária.

![](https://qbgwyoweznyfgawghgl.supabase.co/storage/v1/object/public/media/editor-1779591588471.webp)Testes mostraram que algumas chaves de API do Google Cloud podem continuar aceitando requisições após a exclusão.

Segundo a Aikido, o Google reabriu o relatório em 22 de maio de 2026 e passou a tratar o caso como um bug P0, depois de inicialmente considerar o comportamento esperado.

## O que fazer se uma chave de API for exposta

Até que exista uma mudança definitiva, o caminho mais seguro é tratar a exclusão como parte de um processo, não como uma solução instantânea.

A recomendação prática dos pesquisadores é considerar uma janela de até 30 minutos após apagar a chave. Nesse período, o ideal é acompanhar o uso das APIs, procurar chamadas estranhas e bloquear serviços que possam gerar prejuízo.

Também vale reforçar medidas básicas, mas que muita gente só lembra depois do susto:

- use restrições de API e de aplicação sempre que possível;

- nunca deixe chaves irrestritas em produção;

- monitore cobranças e picos de uso;

- rotacione credenciais com frequência;

- evite colocar chaves em apps, front end ou repositórios.

A página oficial do Google sobre boas práticas recomenda adicionar restrições, apagar chaves desnecessárias e não incluir credenciais diretamente em código cliente ou repositórios.

No fim das contas, apagar a chave continua sendo necessário. Só não dá para assumir que isso fecha a porta no mesmo segundo.

A descoberta serve como um alerta bem direto: em ambientes de nuvem, “excluir” nem sempre significa “revogar imediatamente”.

Para empresas, desenvolvedores e equipes de segurança, a melhor resposta é combinar exclusão, monitoramento e restrições. Assim, mesmo que uma chave escape, o estrago fica menor e a reação deixa de depender apenas de um botão.

E, sinceramente, essa é uma daquelas situações em que prevenir sai muito mais barato do que tentar explicar uma cobrança absurda depois.

---

_© 2026 BitFlow Tech. Conteúdo original — citação permitida com atribuição e link para https://bitflowtech.com.br/artigo/exclusao-nao-e-imediata-google-cloud-deixa-apis-ativas-por-tempo-surpreendente._
