En utvecklare somnade med en varning på $10 på Google Cloud: han vaknade av en räkning på mer än $18 000
Molnet är något osynligt tills räkningen kommer. Vi bygger en applikation, testar ett API, lämnar en budget konfigurerad och fortsätter med våra liv och tänker att systemet kommer att varna om något går ur plan. Problemet är att varning inte är detsamma som att sluta.
Och den skillnaden, som kan tyckas vara en teknisk nyans, är precis vad som skiljer ett kontrollerat test från en enorm skuld när en nyckel exponeras, någon använder den och avgifterna börjar ackumuleras utan att vi ser det. Det är vad han hävdar hände Venturaxi, en Reddit-användare som berättade sin historia. Enligt GRYOnline.pl gick han och la sig med en budgetvarning inställd på 10 australiensiska dollar (cirka 7,15 US-dollar) och vaknade av en räkning på 25 672,86 australiensiska dollar i Google Cloud, drygt 18 000 US-dollar till växelkursen.
Användaren hävdar att under natten gjordes cirka 60 000 obehöriga förfrågningar via en API-nyckel som han inte kunde identifiera från början. Historien, det ska betonas från början, kommer från hans offentliga vittnesmål, inte från en oberoende utredning. En varning kan ljuda medan räkningen fortsätter att växa.
Nyckeln är en nyans som Google förklarar i sin egen dokumentation om budgetar: en budgetvarning stoppar inte konsumtionen, den skickar bara meddelanden när vissa trösklar nås. Det vill säga, det tjänar till att informera oss om att kostnaden är nära eller överstiger en siffra, men den fungerar inte som en strömbrytare som automatiskt stänger av tjänsten. Vid normal användning kan det räcka med att reagera i tid.
I ett scenario med automatiserade förfrågningar och en komprometterad nyckel kan räknaren dock fortsätta att köras trots att meddelandet redan har skickats.
Den mest känsliga delen av den här historien förstås bättre om vi lämnar jargongen bakom oss för ett ögonblick. En API-nyckel är rent praktiskt en nyckel som gör att en applikation kan identifiera sig för en tjänst och säga: Jag är det här kontot, släpp in mig. Så länge det är väl lagrat fyller det sin funktion.
Om det avslöjas kan en annan person använda det för att generera förfrågningar som kommer att debiteras det kontot. Google rekommenderar att du skyddar dessa nycklar, roterar dem och begränsar dem efter domän eller IP. Venturaxi hävdar att nyckeln som användes kom från en gammal trädgårdsapp skapad för hans mamma i Cloud Run.
Det verkar vara en av de mest förvirrande delarna av fallet. Användaren förklarar att han till en början inte hittade den nyckeln i den vanliga listan över AI Studio-nycklar, även om Google angav den som konsumtionskällan. Senare, enligt hans uppdatering på Reddit, lyckades han hitta den i en annan del av Google Cloud-instrumentpanelen tack vare en annan användares tips.
Nyckeln matchade det synliga namnet, inte den fullständiga nyckeln, vilket gjorde det svårt att hålla reda på. Det mest frustrerande kom när han försökte be om hjälp. I sin publikation berättar han att han först sysslade med automatiserade agenter, sedan med olika supportmedlemmar, och senare med eskaleringsansvariga, utan att ha en enda person att följa ärendet från början till slut i dagar.
Han hävdar också att han, allt eftersom förfrågningarna fortsatte, var tvungen att insistera flera gånger på att hans konto hade äventyrats innan han fick en eskalering. Den andra känsliga punkten är på kontonivå. Venturaxi hävdar att dess faktureringskonto automatiskt höjdes till en högre nivå baserat på dess ålder och betalningshistorik, även om det drabbade projektet var mycket nyare.
Enligt förklaringen som han säger att han fått från Google, svarade denna förändring på ett förtroendeförhållande förknippat med kontot, inte nödvändigtvis det specifika projektet. Resultatet, alltid enligt hans berättelse, var att han kunde konsumera mer än han förväntade sig, utan tydlig anmälan eller specifikt samtycke. På Xataka har vi redan den första skadliga programvaran utvecklad med AI.
Den stora oro är hur många av oss är omedvetna om dess existens. Fallet har haft en lång historia just för att det inte framstår som isolerat i samtalet. På Reddit hävdar andra användare att de har gått igenom liknande skräck med oväntade avgifter, komprometterade nycklar eller svårlösta faktureringstvister.
Det gör inte varje berättelse till verifierade bevis, men det ger oss en uppfattning om vad som kan hända. Samtidigt hjälper det att förstå varför venturaxis inlägg har gett resonans: det pekar på en oro som delas av flera utvecklare. Enligt utvecklaren slutade fakturan på 25 672,86 australiensiska dollar att annulleras och Google skulle också ha returnerat de 9 800 dollar som, alltid enligt dess historia, hade delats ut i fem ökande insamlingsförsök.
Det ekonomiska resultatet skulle därför ha lösts till deras fördel. Ändå hävdar användaren att han fortfarande inte hade några tydliga svar på flera punkter i händelsen: hur nyckeln exponerades, vad som aktiverade kontonivåhoppet eller var exakt trafiken kom ifrån. Fakturan på 25 672,86 australiensiska dollar slutade med att annulleras.
Det mest slående med den här historien är inte bara figuren, utan hur lätt det är att förstå hur något sådant här kan komma utom kontroll. Vi pratar inte om en stor utbyggnad eller en enorm infrastruktur, utan snarare en nyckel, en gammal app och en varning som inte gjorde vad många användare kunde föreställa sig. Det finns en varning för alla som arbetar med dessa tjänster, även i små tester: det är värt att se över vad som lämnas öppet, vilka gränser som är verkliga och vilka verktyg som bara informerar oss om att problemet redan är på gång.
Bilder | Xataka med Grok | charlesdeluvio I Xataka | Du får ett jobberbjudande från Spotify och ett annat från Disney. Det som ligger bakom är ett nätfiskebedrägeri som väntar
Originalkälla
Publicerad av Xataka
24 april 2026, 21:31
Denna artikel har översatts automatiskt från spanska. Klicka på länken ovan för att läsa originaltexten.
Visa originaltext (spanska)
Rubrik
Un desarrollador se fue a dormir con una alerta de 10 dólares en Google Cloud: despertó con una factura de más de 18.000
Beskrivning
La nube tiene algo de invisible hasta que llega la factura. Levantamos una aplicación, probamos una API, dejamos un presupuesto configurado y seguimos con nuestra vida pensando que el sistema avisará si algo se sale de lo previsto. El problema es que avisar no es lo mismo que detener. Y esa diferencia, que puede parecer un matiz técnico, es justo la que separa una prueba controlada de una deuda enorme cuando una clave queda expuesta, alguien la utiliza y los cargos empiezan a acumularse sin que lo veamos. Eso es lo que asegura que le ocurrió a venturaxi, un usuario de Reddit que ha contado su caso. Según cuenta GRYOnline.pl, se fue a dormir con una alerta de presupuesto configurada en 10 dólares australianos (unos 7,15 dólares estadounidenses) y se despertó con una factura de 25.672,86 dólares australianos en Google Cloud, algo más de 18.000 dólares estadounidenses al cambio. El usuario sostiene que, durante la noche, se realizaron unas 60.000 peticiones no autorizadas a través de una clave API que al principio no lograba identificar. La historia, conviene subrayarlo desde el principio, procede de su testimonio público, no de una investigación independiente. Una alerta puede sonar mientras la factura sigue creciendoLa clave está en un matiz que Google explica en su propia documentación sobre presupuestos: una alerta de presupuesto no detiene el consumo, solo envía notificaciones cuando se alcanzan determinados umbrales. Es decir, sirve para enterarnos de que el gasto se acerca o supera una cifra, pero no funciona como un interruptor que corta automáticamente el servicio. En un uso normal puede ser suficiente para reaccionar a tiempo. En un escenario con peticiones automatizadas y una clave comprometida, en cambio, el contador puede seguir corriendo aunque el aviso ya se haya enviado. {"videoId":"xa5no8w","autoplay":false,"title":"Usa Claude mejor que el 90% de la gente", "tag":"", "duration":"595"} La parte más delicada de esta historia se entiende mejor si dejamos por un momento la jerga. Una clave API es, a efectos prácticos, una llave que permite a una aplicación identificarse ante un servicio y decirle: soy esta cuenta, déjame pasar. Mientras está bien guardada, cumple su función. Si queda expuesta, otra persona puede usarla para generar peticiones que se cargarán a esa cuenta. Google recomienda proteger estas claves, rotarlas y restringirlas por dominio o IP. Venturaxi asegura que la clave usada procedía de una vieja app de jardinería creada para su madre en Cloud Run. Ahí aparece una de las partes más confusas del caso. El usuario explica que, al principio, no encontraba esa clave en la lista habitual de claves de AI Studio, aunque Google la señalaba como origen del consumo. Más tarde, según su actualización en Reddit, logró localizarla en otra sección del panel de Google Cloud gracias a la pista de otro usuario. La clave coincidía por el nombre visible, no por la clave completa, lo que complicaba seguir el rastro. La parte más frustrante llegó cuando intentó pedir ayuda. En su publicación cuenta que primero trató con agentes automáticos, después con distintos miembros de soporte y más tarde con responsables de escalado, sin tener durante días una persona única que siguiera el caso de principio a fin. También sostiene que, mientras las peticiones seguían produciéndose, tuvo que insistir varias veces en que su cuenta había sido comprometida antes de conseguir una escalada. El otro punto delicado está en el nivel de la cuenta. Venturaxi sostiene que su cuenta de facturación fue elevada automáticamente a un nivel superior por su antigüedad e historial de pagos, aunque el proyecto afectado era mucho más reciente. Según la explicación que dice haber recibido de Google, ese cambio respondía a una relación de confianza asociada a la cuenta, no necesariamente al proyecto concreto. El resultado, siempre según su relato, fue que pudo consumir más de lo que esperaba, sin una notificación clara ni un consentimiento específico. En Xataka Ya tenemos el primer malware desarrollado con una IA. La gran preocupación es sobre cuántos desconocemos su existencia El caso ha tenido recorrido precisamente porque no aparece aislado en la conversación. En Reddit, otros usuarios aseguran haber pasado por sustos parecidos con cargos inesperados, claves comprometidas o disputas de facturación difíciles de resolver. Eso no convierte cada relato en una prueba verificada pero nos da una idea de lo que estaría sucediendo. Al mismo tiempo, ayuda a entender por qué la publicación de venturaxi ha resonado: apunta a una preocupación compartida por varios desarrolladores. Según el desarrollador, la factura de 25.672,86 dólares australianos terminó siendo anulada y Google también habría devuelto los 9.800 dólares que, siempre según su relato, se habían repartido en cinco intentos de cobro crecientes. El desenlace económico, por tanto, habría quedado resuelto a su favor. Aun así, el usuario sostiene que seguía sin respuestas claras sobre varios puntos del incidente: cómo quedó expuesta la clave, qué activó el salto de nivel de la cuenta o de dónde procedía exactamente el tráfico. La factura de 25.672,86 dólares australianos terminó siendo anulada Lo más llamativo de esta historia no es solo la cifra, sino lo fácil que resulta entender cómo algo así puede salirse de control. No hablamos de un gran despliegue ni de una infraestructura enorme, sino de una clave, una app antigua y una alerta que no hacía lo que muchos usuarios podrían imaginar. Ahí está el aviso para cualquiera que trabaje con estos servicios, incluso en pruebas pequeñas: conviene revisar qué queda abierto, qué límites son reales y qué herramientas solo nos informan de que el problema ya está en marcha. Imágenes | Xataka con Grok | charlesdeluvio En Xataka | Te llega una oferta de trabajo de Spotify y otra de Disney. Lo que hay detrás es una estafa de phishing esperando (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Un desarrollador se fue a dormir con una alerta de 10 dólares en Google Cloud: despertó con una factura de más de 18.000 fue publicada originalmente en Xataka por Javier Marquez .
