serviceusage

Los siguientes permisos son útiles para crear y robar claves de API, nota esto de la documentación: Una clave de API es una cadena cifrada simple que identifica una aplicación sin ningún principal. Son útiles para acceder a datos públicos de forma anónima, y se utilizan para asociar solicitudes de API con tu proyecto para cuotas y facturación.

Por lo tanto, con una clave de API puedes hacer que la empresa pague por tu uso de la API, pero no podrás escalar privilegios.

Para aprender otros permisos y formas de generar claves de API, consulta:

serviceusage.apiKeys.create

Se encontró una API no documentada que se puede utilizar para crear claves de API:

curl -XPOST "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.apiKeys.list

Se encontró otra API no documentada para listar claves de API que ya han sido creadas (las claves de API aparecen en la respuesta):

```bash curl "https://apikeys.clients6.google.com/v1/projects//apiKeys?access_token=$(gcloud auth print-access-token)" ``` ### **`serviceusage.services.enable`**, **`serviceusage.services.use`**

Con estos permisos, un atacante puede habilitar y usar nuevos servicios en el proyecto. Esto podría permitir que un atacante habilite servicios como admin o cloudidentity para intentar acceder a la información de Workspace, u otros servicios para acceder a datos interesantes.

Referencias

• https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/