Google API Key 被盜刷會產生多少費用?費用試算、帳單責任與立即止損方法

Google API Key 被盜用後,究竟會產生多少費用?

答案可能從 零元、數千元,到數十萬元甚至更高,沒有固定金額。真正的費用取決於被盜用的 API 類型、請求次數、攻擊持續時間、免費用量、配額設定,以及 Google Cloud 專案是否已連結有效的付款帳戶。

以 Google Maps Platform 為例,目前採取按使用量計費模式,各項服務依 SKU 計算,每月提供不同數量的免費計費事件,超過免費額度後,再依每1,000次計費事件收費。使用量越大,部分服務會自動套用級距折扣。

因此,API Key 被盜用後,不能只問「被呼叫了幾次」,還必須先確認:

  • 被呼叫的是哪一項 API
  • 每次呼叫屬於哪個計費 SKU
  • 當月免費用量是否已經用完
  • 是否有設定每日或每分鐘配額
  • 異常流量持續了多久
  • 帳單是否包含其他正常使用量
  • 是否有大量高單價功能被呼叫

讓更多人搜尋到你的產品?現在有機會免費行銷 20 天!
現在越來越多品牌開始透過 內容行銷,讓產品被 Google 搜尋到。

我們現在開放 20 天免費內容行銷體驗,透過搜尋曝光與內容推廣,幫助你的產品被更多人看見。

Google API Key 被盜刷費用快速對照表

以下以 Google Maps Platform 全球價格中的部分常見服務舉例,實際價格仍應以事件發生當下的 Google 官方帳單及價格表為準。

API 使用情況
官方免費用量範例
首段單價範例
盜用10萬次的概略費用
Dynamic Maps
每月10,000次
每1,000次 US$7
約US$630
Static Maps
每月10,000次
每1,000次 US$2
約US$180
Static Street View
每月10,000次
每1,000次 US$7
約US$630
Compute Routes Essentials
每月10,000次
每1,000次 US$5
約US$450
Roads-Nearest Road
每月5,000次
每1,000次 US$10
約US$950
Roads-Speed Limits
每月5,000次
每1,000次 US$20
約US$1,900
Aerial View
每月5,000次
每1,000次 US$16
約US$1,520

Google 官方價格表目前列出:Dynamic Maps免費用量為每月10,000次,第一級距每1,000次US$7;Static Maps為每1,000次US$2;Compute Routes Essentials為每1,000次US$5;部分Pro等級服務則可能達到每1,000次US$10至US$20。

以上試算尚未包含:

  • 當月原有的正常使用量
  • 其他Google Cloud服務費用
  • 稅金
  • 幣別換算
  • 大量使用的分段折扣
  • 不同地區的特殊價格
  • 訂閱方案或企業合約

Google API Key 被盜用,最少可能是零元嗎?

有可能。

如果異常使用量仍在該項API每月免費額度內,當月可能不會產生額外費用。

例如Dynamic Maps每月有10,000次免費計費事件。假設公司原本完全沒有使用,而外部人士只盜刷5,000次,這些請求可能仍在免費用量內,因此額外帳單可能是零元。Google Maps Platform的免費用量按各個SKU分別計算,並在每月重新計算。

但即使暫時沒有產生費用,也不代表可以不處理,因為:

  1. 攻擊者可能繼續大量呼叫。
  2. 免費用量可能很快用完。
  3. 同一把金鑰可能可以存取其他已啟用的API。
  4. 金鑰可能已被多個網站、爬蟲或程式保存。
  5. 下個月免費用量重置後,異常呼叫可能再次開始。

只要確定金鑰曾經公開或被未授權使用,就應進行輪替,而不是等到產生帳單才處理。


常見費用情境試算

以下試算使用Google官方全球價格表中的首段單價,並假設當月原本沒有其他用量。

為方便台灣讀者理解,文中的新台幣僅以 US$1約新台幣32.5元進行示意換算,不代表實際信用卡結算匯率。


情境一:Dynamic Maps被盜刷10萬次

Dynamic Maps目前每月前10,000次屬於免費用量,首段費用為每1,000次US$7。

計算方式:

總請求次數:100,000次
扣除免費用量:10,000次
計費次數:90,000次

90,000 ÷ 1,000 × US$7
=US$630

換算約為:

US$630 × 32.5
=約新台幣20,475元

也就是說,如果網站地圖金鑰被其他網站大量使用,僅10萬次Dynamic Maps載入,就可能產生約新台幣2萬元的費用。


情境二:Dynamic Maps被盜刷100萬次

假設當月總計發生100萬次Dynamic Maps計費事件:

總請求次數:1,000,000次
扣除免費用量:10,000次
計費次數:990,000次

990,000 ÷ 1,000 × US$7
=US$6,930

示意換算約為:

US$6,930 × 32.5
=約新台幣225,225元

也就是說,在沒有有效配額、網域限制或及時停用的情況下,短時間內被呼叫100萬次,帳單可能突破新台幣20萬元。

實際帳單會依Google的分段價格、當月帳戶總使用量與其他折扣重新計算,因此帳單不一定與上述數字完全相同。Google Maps Platform會依每個SKU及使用量級距計費,並將同一付款帳戶下相關專案的用量納入當月計算。


情境三:Static Maps被盜刷10萬次

Static Maps第一級距目前為每1,000次US$2,每月免費用量10,000次。

100,000-10,000
=90,000次計費

90,000 ÷ 1,000 × US$2
=US$180

示意換算約為:

US$180 × 32.5
=約新台幣5,850元

Static Maps單次成本看起來較低,但如果攻擊者每天呼叫100萬次,費用仍會迅速增加。


情境四:Routes API被盜刷10萬次

Compute Routes Essentials目前每月有10,000次免費用量,第一級距為每1,000次US$5。

100,000-10,000
=90,000次計費

90,000 ÷ 1,000 × US$5
=US$450

示意換算約為:

US$450 × 32.5
=約新台幣14,625元

如果被盜用的是路線矩陣、進階導航或其他較高單價功能,費用可能更高。


情境五:高單價API被盜刷10萬次

以Roads-Speed Limits為例,Google官方全球價格表目前列出的免費用量為5,000次,第一級距每1,000次US$20。

100,000-5,000
=95,000次計費

95,000 ÷ 1,000 × US$20
=US$1,900

示意換算約為:

US$1,900 × 32.5
=約新台幣61,750元

同樣是10萬次請求,低單價服務可能只有數千元,但高單價服務可能超過新台幣6萬元。

因此,看到「API被呼叫10萬次」仍無法直接判斷帳單,必須進一步查看SKU名稱。


被盜刷一天可能產生多少費用?

費用取決於攻擊速度。

以Dynamic Maps首段每1,000次US$7估算:

每日異常請求量
扣除免費用量前的概略費用
新台幣示意
10,000次
約US$70
約NT$2,275
50,000次
約US$350
約NT$11,375
100,000次
約US$700
約NT$22,750
500,000次
約US$3,500
約NT$113,750
1,000,000次
約US$7,000
約NT$227,500

此表是便於理解的粗略估算,沒有扣除每月免費用量,也未套用大量級距折扣。

如果攻擊程式每秒發送10次請求:

10次 × 60秒 × 60分鐘 × 24小時
=每天864,000次

如果每秒100次:

100次 × 60秒 × 60分鐘 × 24小時
=每天8,640,000次

因此,沒有設定配額的API Key,在自動化程式攻擊下,可能在數小時內就累積大量費用。


Google Cloud預算設為1,000元,費用就不會超過1,000元嗎?

不一定。

Google Cloud的預算功能主要用來追蹤費用並發送警示。管理者可以設定預算金額與通知門檻,例如50%、80%、100%與120%,但預算警示本身不是硬性消費上限。Google官方文件說明,預算用於追蹤實際支出與設定的預算差距,並透過門檻規則觸發通知。

例如設定每月預算新台幣1,000元,通常代表:

  • 費用達500元時通知
  • 費用達800元時通知
  • 費用達1,000元時通知
  • 費用達1,200元時通知

但如果攻擊流量持續,API不一定會在1,000元時自動停止。

此外,帳單資料與警示通知可能不是即時更新。等管理者收到郵件、看到通知並登入處理時,費用可能已經繼續增加。


如何真正限制API被盜刷的金額?

降低風險不能只靠預算警示,還要搭配以下措施。

1. 設定API配額

可以為特定API設定:

  • 每分鐘請求上限
  • 每位使用者每分鐘上限
  • 每日請求上限
  • 特定方法或端點的用量上限

Google官方說明,當請求量到達設定的配額上限後,服務會停止回應後續請求;但配額設定太低,也可能導致正常網站或App中斷。

例如網站平常每天只使用2,000次,可以先根據尖峰流量設定每日5,000次或10,000次,而不是保留極高或無限制的配額。

2. 設定應用程式限制

依API的實際使用方式設定:

  • 網站:限制HTTP參照網址
  • 後端伺服器:限制固定IP
  • Android App:限制套件名稱及SHA-1憑證
  • iOS App:限制Bundle ID

網站金鑰即使能在瀏覽器原始碼中看到,只要正確限制允許的網域,其他網站便較難直接使用。

3. 設定API限制

每把金鑰只允許存取真正需要的API。

例如:

  • Google Maps網站金鑰只開放Maps JavaScript API
  • 地址查詢金鑰只開放Geocoding API
  • 路線服務金鑰只開放Routes API

避免一把金鑰可以呼叫專案內所有已啟用服務。

4. 正式站與測試站分開

建議建立不同金鑰:

  • 正式網站
  • 測試網站
  • 開發環境
  • 後端伺服器
  • Android App
  • iOS App

這樣其中一把遭到濫用時,不必一次更換所有系統。


發現帳單暴增,應該先做什麼?

第一件事:確認是哪個專案產生費用

進入Google Cloud Console:

https://console.cloud.google.com

依序查看:

帳單
→ 報表
→ 依專案分組
→ 依服務分組
→ 依SKU分組

先找出:

  • 產生費用的專案
  • 服務名稱
  • SKU名稱
  • 異常開始日期
  • 每日或每小時增加的金額

第二件事:查看API請求量

進入:

https://console.cloud.google.com/apis/dashboard

檢查:

  • 哪一項API流量暴增
  • 異常發生時間
  • 成功與失敗請求數
  • 是否與網站訪客量一致
  • 是否在沒有活動或廣告時大量增加

第三件事:立即限制或替換API Key

如果已經確認存在異常流量,可以依風險程度處理:

系統仍需要維持服務

  1. 建立新API Key。
  2. 設定正確的來源限制。
  3. 設定API限制。
  4. 更新網站、App或伺服器。
  5. 確認新金鑰正常。
  6. 刪除舊金鑰。

Google官方對遭入侵API Key的建議,是建立新金鑰、套用必要限制、部署新金鑰後,再刪除舊金鑰。

費用仍快速增加

可以先:

  1. 直接限制舊金鑰來源。
  2. 調低API配額。
  3. 停用不需要的API。
  4. 必要時立即刪除舊金鑰。
  5. 再處理正式系統的恢復。

此時應以阻止費用繼續增加為優先,即使網站可能短暫停止部分功能。


已經產生的盜刷費用,可以不繳嗎?

不能自行認定不需要付款。

Google Cloud帳單通常會先依專案的實際使用量產生。若認為費用來自憑證外洩或未授權使用,應立即:

  1. 停止異常使用。
  2. 保存帳單與流量紀錄。
  3. 輪替或刪除API Key。
  4. 檢查專案及付款權限。
  5. 聯絡Google Cloud Billing支援。
  6. 說明異常發生時間及已採取的補救措施。

是否能夠減免、調整或退款,需由Google依個案審核,不能保證申請後一定會退費。

建議保留以下證據:

  • 異常帳單截圖
  • 每日費用變化
  • API請求量
  • 被盜用的API名稱
  • 金鑰原本使用位置
  • 金鑰限制設定
  • 收到的安全警示
  • 發現問題的時間
  • 刪除或更換金鑰的時間
  • GitHub或公開網站暴露紀錄

刪除API Key後,費用會立即停止嗎?

刪除金鑰後,使用該金鑰的新請求通常會無法繼續通過驗證。

但帳單頁面可能不會立即反映最新狀態,因此仍可能看到:

  • 先前已經完成的請求
  • 尚未更新到報表的費用
  • 刪除前已產生的計費事件
  • 其他金鑰產生的流量
  • 同一帳單帳戶下其他專案的費用

刪除金鑰後,仍應持續觀察至少:

  • API流量是否下降
  • 當日費用是否停止增加
  • 是否有其他金鑰繼續產生相同流量
  • 是否有不認識的專案或服務

為什麼關閉API後,帳單還在增加?

常見原因包括:

1. 帳單資料延遲

部分使用量不是即時寫入帳單報表,因此看到的增加可能是先前已產生的費用。

2. 關閉了錯誤專案

公司可能有多個名稱相似的Google Cloud專案。

3. 還有其他API Key

專案中可能不只一把金鑰。

4. 其他服務仍在計費

費用可能來自:

  • Compute Engine
  • Cloud Storage
  • BigQuery
  • Cloud Run
  • Vertex AI
  • Gemini API
  • 網路流量
  • 資料庫
  • 其他Google Maps API

5. 攻擊者取得的不是API Key

如果外洩的是服務帳戶JSON金鑰、OAuth憑證或Google Cloud帳號權限,攻擊者可能建立其他資源。這類事件的風險通常高於單純API Key外洩。

Google官方表示,只要懷疑任何Google Cloud憑證遭到入侵,就應立即採取行動限制影響範圍。


常見問題

API Key被盜用,一天最高會被刷多少?

沒有統一的最高金額。

上限取決於:

  • 專案配額
  • API本身的系統上限
  • 攻擊者的請求速度
  • Google是否攔截異常流量
  • 帳戶付款狀態
  • 使用的API單價
  • 管理者多久後發現

沒有設定合理配額時,理論上可能持續產生大量請求與費用。

信用卡額度只有3萬元,Google帳單就不會超過3萬元嗎?

不一定。

信用卡額度不是Google Cloud的API用量上限。即使扣款失敗,雲端帳戶仍可能已經累積應付費用,後續也可能再次嘗試扣款或限制服務。

預算警示可以防止盜刷嗎?

只能協助提早發現,不能單獨防止。

真正的防護應包含:

  • 金鑰限制
  • API限制
  • 每分鐘配額
  • 每日配額
  • 費用警示
  • 異常流量監控
  • 定期輪替金鑰

API Key沒有綁信用卡,還會產生費用嗎?

若專案沒有啟用有效帳單,許多需要計費的Google Cloud服務可能無法正常啟用或在免費用量後停止。

但仍應確認:

  • 專案是否連結其他付款帳戶
  • 是否使用免費試用額度
  • 是否有促銷抵用金
  • 是否由公司或組織統一付款
  • 是否有其他專案共用帳單帳戶

盜刷只有幾百次,需要更換金鑰嗎?

只要確認是未授權使用,就建議更換。

請求量少可能只是攻擊者正在測試金鑰是否有效。若繼續保留,之後可能轉為大量呼叫。

Google會主動阻擋被盜用的API Key嗎?

Google可能偵測到公開或疑似遭入侵的憑證並發出通知,但管理者不能完全依賴自動偵測。Google官方仍要求使用者檢查API與帳單活動,並處理可能外洩的金鑰。


Google官方重要連結

以下連結請在WordPress使用一般文字超連結或按鈕,不要使用「嵌入內容」區塊。

管理與查詢入口

Google Cloud Console
https://console.cloud.google.com/

API與服務資訊主頁
https://console.cloud.google.com/apis/dashboard

API憑證管理
https://console.cloud.google.com/apis/credentials

Google Cloud帳單
https://console.cloud.google.com/billing

預算與警示
https://console.cloud.google.com/billing/budgets

Google Maps Platform配額管理
https://console.cloud.google.com/google/maps-apis/quotas

官方說明

Google Maps Platform全球價格表
https://developers.google.com/maps/billing-and-pricing/pricing

Google Maps Platform計價總覽
https://developers.google.com/maps/billing-and-pricing/overview

Google Maps Platform成本管理
https://developers.google.com/maps/billing-and-pricing/manage-costs

Google Cloud預算與警示
https://cloud.google.com/billing/docs/how-to/budgets

處理遭入侵的Google Cloud憑證
https://cloud.google.com/docs/security/compromised-credentials

Google Cloud帳單支援
https://cloud.google.com/support/docs/get-billing-support


結語:API盜刷費用可能在短時間內快速增加

Google API Key被盜用後,費用沒有固定答案。

相同的10萬次請求:

  • Static Maps可能約US$180
  • Routes API可能約US$450
  • Dynamic Maps可能約US$630
  • Roads高單價功能可能接近US$1,900

如果攻擊量增加到100萬次,費用便可能達到數千美元;若異常持續數天,帳單也可能迅速累積到數十萬元。

發現異常時,不要只等待Google回覆,也不要只設定預算警示。應先完成:

  1. 找出產生費用的專案與SKU。
  2. 保存流量及帳單證據。
  3. 限制或刪除遭濫用的金鑰。
  4. 建立新金鑰並設定來源限制。
  5. 調整每分鐘及每日配額。
  6. 持續觀察費用是否停止增加。
  7. 再聯絡Google Cloud Billing支援處理爭議費用。

需要規劃網站API、流量追蹤與數位廣告嗎?

網站使用Google Maps、Google API、GA4或Google Ads時,除了確認功能能否正常運作,也應建立清楚的流量、配額與轉換追蹤機制,避免無法分辨正常使用、程式錯誤及異常流量。

 數位果子科技有限公司 提供:

  • 網站與API串接需求規劃
  • GA4與Google Search Console數據整合
  • Google Ads關鍵字廣告投放
  • Facebook與Instagram社群廣告投放
  • SEO關鍵字及內容策略
  • 網站轉換追蹤與行銷流程規劃
  • AI內容產製與行銷自動化規劃

本公司服務重點為網站建置、數位行銷、SEO內容與廣告投放,不代理Google Cloud帳單申訴、退款審核或Google官方客服。若已產生異常API費用,仍應透過Google Cloud Billing官方支援管道提出。

數位果子科技有限公司
合作專線:0970-357-535
LINE:cherng65

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *